亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

<table id="r2ath"></table>

<tt id="r2ath"></tt>

<cite id="r2ath"><source id="r2ath"></source></cite>

Chinaunix

標題: 防簡單攻擊iptables策略 [打印本頁]

---

作者: 聽老歌    時間: 2012-01-19 21:30
標題: 防簡單攻擊iptables策略

防簡單攻擊iptables策略

1. #!/bin/sh
   
2. 
   
3. IPTABLES=/sbin/iptables
   
4. 
   
5. 
   
6. 
   
7. # clear
   
8. 
   
9. $IPTABLES -F
   
10. 
    
11. 
    
12. 
    
13. # if pkg type is allow, then accept
    
14. 
    
15. #$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
16. 
    
17. 
    
18. 
    
19. # 如果同時在80端口的連接數(shù)大于10，就Drop掉這個ip
    
20. 
    
21. netstat -an | grep :80 | awk -F: '{ print $8 }' | sort | uniq -c | awk -F\   '$1>10 && $2!="" { print $2 }' >> /etc/fw.list
    
22. 
    
23. less /etc/fw.list | sort | uniq -c | awk -F\   '$2!="" { print $2 }' > /etc/fw.list2
    
24. 
    
25. less /etc/fw.list2 > /etc/fw.list
    
26. 
    
27. while read line
    
28. 
    
29.        do
    
30. 
    
31.        t=`echo "$line"`
    
32. 
    
33.        $IPTABLES -A INPUT -p tcp -s $t -j DROP
    
34. 
    
35. done < /etc/fw.list2
    
36. 
    
37. 
    
38. 
    
39. # IP轉(zhuǎn)發(fā)
    
40. 
    
41. $IPTABLES -A INPUT -p tcp --dport 20002 -j ACCEPT
    
42. 
    
43. $IPTABLES -A INPUT -d 172.16.204.7 -p tcp -m tcp --dport 20002 -i eth0 -j ACCEPT
    
44. 
    
45. $IPTABLES -t nat -A PREROUTING -d 211.100.39.44 -p tcp -m tcp --dport 20002 -j DNAT --to-destination 172.16.204.7:20002
    
46. 
    
47. $IPTABLES -t nat -A POSTROUTING -d 172.16.204.7 -p tcp -m tcp --dport 20002 -j SNAT --to-source 10.6.39.44
    
48. 
    
49. 
    
50. 
    
51. # if pkg visit 80,7710 port then accept
    
52. 
    
53. $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
    
54. 
    
55. $IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT
    
56. 
    
57. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
    
58. 
    
59. $IPTABLES -A INPUT -p tcp --dport 873 -j ACCEPT
    
60. 
    
61. # $IPTABLES -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT
    
62. 
    
63. $IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT
    
64. 
    
65. $IPTABLES -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT
    
66. 
    
67. $IPTABLES -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
    
68. 
    
69. 
    
70. 
    
71. # if pkg from allow ip then accept
    
72. 
    
73. $IPTABLES -A INPUT -p tcp -s 127.0.0.1   -j ACCEPT
    
74. 
    
75. 
    
76. 
    
77. # if pkg not above then deny
    
78. 
    
79. $IPTABLES -A INPUT -p tcp --syn -j DROP
    
80. 
    
81. 下面這個防火墻測試結(jié)果更正確，能起到一定的防攻擊的功能
    
82. 
    
83. 
    
84. 
    
85. #!/bin/sh
    
86. 
    
87. IPTABLES="/sbin/iptables"
    
88. 
    
89. echo "1" > /proc/sys/net/ipv4/ip_forward
    
90. 
    
91. $IPTABLES -P INPUT DROP
    
92. 
    
93. $IPTABLES -P FORWARD DROP
    
94. 
    
95. $IPTABLES -P OUTPUT DROP
    
96. 
    
97. $IPTABLES -F
    
98. 
    
99. $IPTABLES -X
    
100. 
     
101. 
     
102. 
     
103. $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     
104. 
     
105. $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
     
106. 
     
107. $IPTABLES -A INPUT -p tcp --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT
     
108. 
     
109. 
     
110. 
     
111. $IPTABLES -A OUTPUT -p tcp -s 127.0.0.1 -j ACCEPT
     
112. 
     
113. $IPTABLES -A OUTPUT -p tcp -s 192.168.1.102 -j ACCEPT
     
114. 
     
115. $IPTABLES -A OUTPUT -p udp -s 127.0.0.1 -j ACCEPT
     
116. 
     
117. $IPTABLES -A OUTPUT -p udp -s 192.168.1.102 -j ACCEPT
     
118. 
     
119. 
     
120. 
     
121. $IPTABLES -A INPUT -p tcp --syn -j DROP
     
122. 復制代碼

復制代碼

---

作者: 夢境照進現(xiàn)實    時間: 2012-01-19 21:53
謝謝分享

---

作者: lastfile    時間: 2012-01-20 23:36
收藏收藏收藏

---

作者: linux_admin    時間: 2012-02-01 16:45
這個是好東西哦，來收藏一下

---

作者: zbjit    時間: 2012-02-07 09:09
回復能看嗎，多謝

---

作者: h101com    時間: 2012-02-13 21:27
支持。

---

作者: 靜飛lv    時間: 2012-02-15 19:46
不錯 收藏

---

作者: voostar    時間: 2012-03-09 20:05
不錯。第一次看看iptables可以用那么多限制條件。

---

作者: yrgnet    時間: 2012-03-19 10:18
謝謝分享

---

作者: zxp3721    時間: 2012-03-25 05:01
這個內(nèi)容不錯

---

作者: liangfm117    時間: 2012-04-19 23:57
強悍啊

---

作者: kk5234    時間: 2012-04-22 14:33
不錯，學習了！

---

作者: pxf520    時間: 2012-04-25 11:32
連接數(shù)大于10就drop 這樣會誤殺很多正常的連接

---

作者: ulovko    時間: 2012-04-25 21:21
多謝分享了，高手！

---

作者: vcdtwo    時間: 2012-06-01 16:48

---

作者: abinNO1    時間: 2012-06-05 11:28
強悍的人啊 :wink:

---

作者: mojie126    時間: 2012-06-09 21:05
感謝分享...

不知道用iptables如何盡可能防御CC和DDoS？

---

作者: shaneqi    時間: 2012-06-10 09:31
尊重每一個人，包括為你擦鞋的，賣報的，環(huán)衛(wèi)工人...等等。

---

作者: yingfengstart    時間: 2012-07-16 11:29
:wink::wink::wink:

---

作者: 星火2012    時間: 2012-07-16 16:52
大于10就干掉啊，這個也太嚴了吧

---

作者: chinasjok    時間: 2012-07-17 09:26
回復 1# 聽老歌

來個最簡單的防火墻，將ssh端口改成了9922.
     

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dport 80,9922 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

---

作者: ulovko    時間: 2012-07-26 09:44
很贊！ 支持原創(chuàng)分享！ ^_^

---

作者: kvmla    時間: 2012-08-27 17:04

1. status=`netstat -nat|grep :80|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|grep -v "127.0.0.1"|grep -v "0.0.0.0"|awk '{if($1 >20)print $2}'`
   
2. for IP in $status;do $IPTABLES -A INPUT -p tcp -s $IP -j DROP;done

復制代碼

netstat那段抓IP的可以這么寫  
感覺抓數(shù)據(jù)又寫硬盤 然后在讀 覺得很蛋疼

---

作者: WaterDrops    時間: 2012-08-28 08:44
回復 1# 聽老歌


    謝謝 分享  

---

作者: cwking726    時間: 2012-08-29 09:09
感謝分享~~~

---

作者: hikjor    時間: 2012-09-25 11:43
很好，很強大。收藏了

---

作者: scybzdk    時間: 2012-11-01 23:28
要回復才能看？

---

作者: linux范進    時間: 2013-02-01 15:40
支持一下��！

---

作者: gzgaff    時間: 2013-02-05 15:31
謝謝分享

---

作者: lqlqm    時間: 2013-02-06 13:38
非常實用:wink:

---

作者: jyking02    時間: 2013-02-18 15:36
iptables還不熟，我不合格啊

---

作者: yun_88    時間: 2013-03-02 18:00
很贊，感謝分享

---

作者: linuxcshell    時間: 2013-03-04 11:29
感謝樓主的無私奉獻

---

作者: xo1980    時間: 2013-03-06 11:07
謝謝分享謝謝分享

---

作者: xo1980    時間: 2013-03-06 11:08
謝謝分享謝謝分享

---

作者: arlikiss    時間: 2013-05-27 10:24
謝謝分享，收藏了先�。�！

---

作者: gm100861    時間: 2013-05-27 11:53
CU的精華貼標準也降低了啊。

---

作者: roniann    時間: 2013-05-31 15:39
這個得頂一下，有些網(wǎng)站前端我們放行了80口，但是有的防火墻還是很貴，用這個也許能起到一些作用。

---

作者: ding_cw    時間: 2013-06-25 17:22
不錯收藏了

---

作者: Purple_Grape    時間: 2013-07-03 11:06
這是還是讓別的東西做吧，比如nginx的 limit_conn模塊

---

作者: miaoxuerong    時間: 2013-12-04 12:28
支持，謝謝！

---

作者: ding_cw    時間: 2013-12-06 09:29
Mark一下  將來有用

---

作者: jzz000114    時間: 2014-03-12 21:34
謝謝樓主分享

---

作者: tingfengmanbu    時間: 2014-03-24 09:58
謝謝樓主分享，收藏了

---

作者: daisyabner    時間: 2014-04-03 10:36
樓主能不能詳細的注釋一下。謝謝啦

---

作者: daisyabner    時間: 2014-04-18 15:12
菜鳥膜拜一下

   

---

作者: howge    時間: 2014-05-29 16:53
iptables 配置轉(zhuǎn)發(fā)需要將ip_forword 打開吧

---

作者: stupid_lee    時間: 2014-06-06 19:03
收藏了，好東西

---

作者: q614113774    時間: 2014-09-29 10:24
厲害厲害！受教了

---

作者: ThisMoss    時間: 2014-10-11 09:39
我 覺得吧、這么好的東西不給贊一下實在看不下去！��！贊贊贊贊贊！��！

---

作者: baoersc    時間: 2014-10-22 15:21
學習，收藏一下。感謝LZ的分享。

---

作者: hncsjj    時間: 2014-10-23 09:44
謝謝分享:wink::wink::wink::wink::wink::wink:

---

作者: jd_chen    時間: 2014-11-06 22:35
下面這個防火墻測試結(jié)果更正確，能起到一定的防攻擊的功能
我真的看不出有什么地方能防攻擊了？？請教？

---

作者: yoohuu    時間: 2015-01-07 18:28
好久沒回帖了！�。。�！

---

作者: xuanguipk    時間: 2016-11-01 17:02
學習一下，先收藏了

---

作者: ccjsj1    時間: 2016-11-02 14:54
收藏啦！

---

作者: 巴伐利亞小酒保    時間: 2016-11-03 15:29
受教了!!!

---

作者: Liu先森    時間: 2017-03-09 14:01
不錯，收藏了

---

歡迎光臨 Chinaunix (http://72891.cn/)

Powered by Discuz! X3.2

感谢您访问我们的网站，您可能还对以下资源感兴趣：

亚洲av成人无遮挡网站在线观看

<nav id="gpqsn"><fieldset id="gpqsn"></fieldset></nav>

<em id="gpqsn"><th id="gpqsn"></th></em>

<tt id="gpqsn"></tt>

<pre id="gpqsn"></pre>