linux下防火墙策略（iptables）

micmouse521 · 2011-01-06, 10:04

iptables -P INPUT DROP
#INPUT默认策略为DROP
iptables -A INPUT -i lo -j ACCEPT
#本地回环全部允许
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 110,80,25，143 -j ACCEPT
#允许smtp,pop3,imap连接
iptables -A INPUT -p udp -m multiport --dports 53 -j ACCEPT
#允许dns连接
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
#防止同步包洪水（Sync Flood）
#--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT
#防止各种端口扫描
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#Ping洪水攻击（Ping of Death）
service iptables save
#保存iptables规则
重启iptables ，就可以了。

这些只是个人经验，如果想要达到好的防火墙效果，最好深入了解iptables，或是使用硬件防火墙。

2011-01-06, 10:04	#1 (permalink)
micmouse521 初级会员注册日期: 2010-10-13 帖子: 29	linux下防火墙策略（iptables） iptables -P INPUT DROP #INPUT默认策略为DROP iptables -A INPUT -i lo -j ACCEPT #本地回环全部允许 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -m multiport --dports 110,80,25，143 -j ACCEPT #允许smtp,pop3,imap连接 iptables -A INPUT -p udp -m multiport --dports 53 -j ACCEPT #允许dns连接 iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT #防止同步包洪水（Sync Flood） #--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT #防止各种端口扫描 iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #Ping洪水攻击（Ping of Death） service iptables save #保存iptables规则重启iptables ，就可以了。这些只是个人经验，如果想要达到好的防火墙效果，最好深入了解iptables，或是使用硬件防火墙。 __________________ mobile:13401025442 email:zhwl@mailer.com.cn qq:920574103 & 1481461853 msn:micmouse521@live.cn 北京春笛网络信息技术服务有限公http://www.chundi.com 金笛电子邮件系统http://www.mailer.com.cn/ 龙笛企业即时通讯软件http://www.long-d.cn/ tel:010-82356575/76/77 ext 6024 此帖于 2011-01-06 10:07 被 micmouse521 编辑。