主题: linux下防火墙策略(iptables)
查看单个帖子
旧 2011-01-06, 11:04   #1 (permalink)
micmouse521
初级会员
 
注册日期: 2010-10-13
帖子: 29
灯泡 linux下防火墙策略(iptables)
iptables -P INPUT DROP
#INPUT默认策略为DROP
iptables -A INPUT -i lo -j ACCEPT
#本地回环全部允许
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 110,80,25,143 -j ACCEPT
#允许smtp,pop3,imap连接
iptables -A INPUT -p udp -m multiport --dports 53 -j ACCEPT
#允许dns连接
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
#防止同步包洪水(Sync Flood)
#--limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT
#防止各种端口扫描
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#Ping洪水攻击(Ping of Death)
service iptables save
#保存iptables规则
重启iptables ,就可以了。


这些只是个人经验,如果想要达到好的防火墙效果,最好深入了解iptables,或是使用硬件防火墙。
__________________
mobile:13401025442
email:zhwl@mailer.com.cn
qq:920574103 & 1481461853
msn:micmouse521@live.cn

北京春笛网络信息技术服务有限公http://www.chundi.com
金笛电子邮件系统http://www.mailer.com.cn/
龙笛企业即时通讯软件http://www.long-d.cn/
tel:010-82356575/76/77 ext 6024
此帖于 2011-01-06 11:07 被 micmouse521 编辑。
micmouse521 当前离线   回复时引用此帖