关于linux 封IP 实用方法举例
时间:2015-01-22 03:04 来源:linux.it.net.cn 作者:IT
某天, 从某服务器http日志上.看到有某个IP每秒钟向服务器提交上百个请求.
攻击?. 先别管原因,反正就导致CPU资源暴长.
干掉吧~.
用哪个家伙? 当然是 iptable啊 !
可以直接在命令行输入以下指令干掉.
单个IP的命令是
iptables -I INPUT -s 211.1.0.0 -j DROP
封IP段的命令是
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP
封整个段的命令是
iptables -I INPUT -s 211.0.0.0/8 -j DROP
封几个段的命令是
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
服务器启动自运行
有三个方法:
1、把它加到/etc/rc.local中
2、iptables-save >;/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执行。
3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。
后两种更好此,一般iptables服务会在network服务之前启来,更安全。
PS: 而解封则 iptables -I INPUT -s 211.1.0.0/16 -j ACCEPT
IPTABLES 语法:
表: iptables从其使用的三个表(filter、nat、mangle)而得名, 对包过滤只使用 filter 表, filter还是默认表,无需显示说明.
操作命令: 即添加、删除、更新等。
链:对于包过滤可以针对filter表中的INPUT、OUTPUT、FORWARD链,也可以操作用户自定义的链。
规则匹配器:可以指定各种规则匹配,如IP地址、端口、包类型等。
目标动作:当规则匹配一个包时,真正要执行的任务,常用的有:
ACCEPT 允许包通过
DROP 丢弃包
一些扩展的目标还有:
REJECT 拒绝包,丢弃包同时给发送者发送没有接受的通知
LOG 包有关信息记录到日志
TOS 改写包的TOS值
(责任编辑:IT)
某天, 从某服务器http日志上.看到有某个IP每秒钟向服务器提交上百个请求. 攻击?. 先别管原因,反正就导致CPU资源暴长. 干掉吧~. 用哪个家伙? 当然是 iptable啊 ! 可以直接在命令行输入以下指令干掉.
单个IP的命令是
封IP段的命令是
封整个段的命令是
封几个段的命令是
服务器启动自运行 PS: 而解封则 iptables -I INPUT -s 211.1.0.0/16 -j ACCEPT IPTABLES 语法: 表: iptables从其使用的三个表(filter、nat、mangle)而得名, 对包过滤只使用 filter 表, filter还是默认表,无需显示说明. 操作命令: 即添加、删除、更新等。 链:对于包过滤可以针对filter表中的INPUT、OUTPUT、FORWARD链,也可以操作用户自定义的链。 规则匹配器:可以指定各种规则匹配,如IP地址、端口、包类型等。 目标动作:当规则匹配一个包时,真正要执行的任务,常用的有: ACCEPT 允许包通过 DROP 丢弃包 一些扩展的目标还有: REJECT 拒绝包,丢弃包同时给发送者发送没有接受的通知 LOG 包有关信息记录到日志 TOS 改写包的TOS值 (责任编辑:IT) |