|
1. [root@localhost ~]#iptables -A OUTPUT -p tcp --dport 80 -j DROP 防采集 2. [root@localhost ~]# iptables -A OUTPUT -p udp -d 8.8.8.8 --dport 53 -j 3. 4. ACCEPT 5. [root@localhost ~]# iptables -A OUTPUT -p udp -j DROP 6. [root@localhost ~]# ping www.baidu.com 7. ping: unknown host www.baidu.com 8. 第二条与第3条合起来本来是要本地只对8.8.8.8这个DNS服务器的UDP协议53 9. 10. 端口才有效,然后拒绝所有对外的UDP,防止PHPDOS攻击 11. 解决方法:在/etc/resolv.conf里面添加一条nameserver 8.8.8.8就可以了。 12. 13. 14. [root@localhost ~]# iptables -A OUTPUT -p udp -d 218.85.152.99 --dport 15. 16. 53 -j ACCEPT 17. [root@localhost ~]# iptables -A OUTPUT -p udp -j DROP 18. [root@localhost ~]# ping www.baidu.com 19. PING www.a.shifen.com (119.75.218.77) 56(84) bytes of data. 20. 64 bytes from 119.75.218.77: icmp_seq=1 ttl=54 time=42.4 ms 21. 这样我在/etc/resolv.conf里面去掉nameserver 8.8.8.8,然后只允许本机 22. 23. 对当前的DNS服务器218.85.152.99的UDP协议的53端口访问,其他对外的UDP 24. 25. 协议都拒绝,这样也可以ping通百度。 26. 27. 看来要允许的DNS服务器一定要存在/etc/resolv.conf里面才行,不然找不到 28. 29. 主机。 30. 还有在iptables里面,记录是从上往下读的,如果把拒绝全部UDP在前的话, 31. 32. 也是ping不通的 本文出自 “冰鱼客” 博客 (责任编辑:IT) |