|
安装 yum install iptables 清除已有iptables规则 iptables -F iptables -X iptables -Z 开放指定的端口 #允许本地回环接口(即运行本机访问本机) iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许所有本机向外的访问 iptables -A OUTPUT -j ACCEPT # 允许访问22端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问80端口 iptables -A INPUT -p tcp --dport 80 -j ACCEPT #禁止其他未允许的规则访问 iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT 屏蔽IP #屏蔽单个IP的命令是 iptables -I INPUT -s 123.45.6.7 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令 iptables -I INPUT -s 123.0.0.0/8 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令 iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令是 iptables -I INPUT -s 123.45.6.0/24 -j DROP 查看已添加的iptables规则 iptables -L -n 删除已添加的iptables规则 比如要删除INPUT里序号为8的规则,执行: iptables -D INPUT 8 保存规则 service iptables save 重启服务 service iptables restart iptables的配置文件 vi /etc/sysconfig/iptables 打开主动模式21端口 iptables -A INPUT -p tcp --dport 21 -j ACCEPT 全部开放ftp传输 加载模块: modprobe ip_nat_ftp modprobe ip_conntrack modprobe ip_conntrack_ftp 加上一条规则: iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
在linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。 在Linux下封停IP,有封杀网段和封杀单个IP两种形式。一般来说,现在的攻击者不会使用一个网段的IP来攻击(太招摇了),IP一般都是散列的。于是下面就详细说明一下封杀单个IP的命令,和解封单个IP的命令。 在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 要封停一个IP,使用下面这条命令: 要解封一个IP,使用下面这条命令: 参数-I是表示Insert(添加),-D表示Delete(删除)。后面跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放弃连接。 此外,还可以使用下面的命令来查看当前的IP规则表: 比如现在要将123.44.55.66这个IP封杀,就输入: 要解封则将-I换成-D即可,前提是iptables已经有这条记录。如果要想清空封掉的IP地址,可以输入: 要添加IP段到封停列表中,使用下面的命令: 其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关于IP段表达式网上有很多详细解说的,这里就不提了。 相信有了iptables的帮助,解决小的DDoS之类的攻击也不在话下! 附:其他常用的命令编辑 iptables 文件 关闭/开启/重启防火墙 验证一下是否规则都已经生效: 保存并重启iptables (责任编辑:IT) |