系统的INPUT和OUTPUT默认策略为DROP;
1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;
INPUT链
# iptables -I INPUT 1 -p tcp --dport 80 -m connlimit ! --connlimit-above 100 -m time ! --weekdays Mon -j ACCEPT
OUTPUT链
# iptables -I OUTPUT 1 -p tcp --sport 80 -m string --string "admin" --algo kmp -j REJECT #iptables -I OUTPUT 2 -m state --state ESTABLISHED,RELATED -j ACCEPT
2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;
INPUT链
# iptables -I INPUT 1 -s 172.16.0.0/16 -p tcp --dport 21 -m connlimit ! --connlimit-above 5 -j ACCEPT
OUTPUT链
# iptables -I OUTPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务器端口离开本机;
INPUT链
# iptables -I INPUT 1 -p tcp --dport 22 -m iprange --src-range 172.16.53.1-172.16.53.100 -mlimit --limit 2/minute -j ACCEPT
OUTPUT链
# iptables -I OUTPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
4、拒绝tcp标志位全部为1及全部为0的报文访问本机;
INPUT链
# iptables -I INPUT 1 -p tcp --tcp-flags ALL ALL -j DROP # iptables -I INPUT 2 -p tcp --tcp-flags ALL -j DROP
5、允许本机ping别的主机;但不开放别的主机ping本机;
INPUT链
# iptables -I INPUT 1 -p icmp --icmp-type 0 -j ACCEPT
OUTPUT链
# iptables -I OUTPUT 1 -p icmp --icmp--type 8 -j ACCEPT
6、判断下列规则的意义:
# iptables -N clean_in 新建一条自定义链“clean_in” # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP 丢弃所有同一物理网段或子网及172.16网络的icmp # iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP 丢弃tcp标记除syn以外所有连接状态为新建的数据包 # iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP # iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP 防止tcp NULL扫描 # iptables -A clean_in -d 172.16.100.7 -j RETURN 停止执行当前链中目标地址为172.16.100.7的后续Rules,并返回到调用链中
原创文章,作者:Jeason,如若转载,请注明出处:http://www.178linux.com/58302
评论列表(1条)
写的很好, 期待你以后的佳作