iptables学习心得

时间:2014-07-10 19:48 来源:linux.it.net.cn 作者:IT网

1.      [root@localhost ~]#iptables -A OUTPUT -p tcp --dport 80 -j DROP 防采集
2.      [root@localhost ~]# iptables -A OUTPUT -p udp -d 8.8.8.8 --dport 53 -j
3.
4.      ACCEPT
5.      [root@localhost ~]# iptables -A OUTPUT -p udp -j DROP
6.      [root@localhost ~]# ping www.baidu.com
7.      ping: unknown host www.baidu.com
8.      第二条与第3条合起来本来是要本地只对8.8.8.8这个DNS服务器的UDP协议53
9.
10.   端口才有效,然后拒绝所有对外的UDP,防止PHPDOS攻击
11.   解决方法:在/etc/resolv.conf里面添加一条nameserver 8.8.8.8就可以了。
12.
13.
14.   [root@localhost ~]# iptables -A OUTPUT -p udp -d 218.85.152.99 --dport
15.
16.   53 -j ACCEPT
17.   [root@localhost ~]# iptables -A OUTPUT -p udp -j DROP
18.   [root@localhost ~]# ping www.baidu.com
19.   PING www.a.shifen.com (119.75.218.77) 56(84) bytes of data.
20.   64 bytes from 119.75.218.77: icmp_seq=1 ttl=54 time=42.4 ms
21.   这样我在/etc/resolv.conf里面去掉nameserver 8.8.8.8，然后只允许本机
22.
23.   对当前的DNS服务器218.85.152.99的UDP协议的53端口访问，其他对外的UDP
24.
25.   协议都拒绝，这样也可以ping通百度。
26.
27.   看来要允许的DNS服务器一定要存在/etc/resolv.conf里面才行，不然找不到
28.
29.   主机。
30.   还有在iptables里面，记录是从上往下读的，如果把拒绝全部UDP在前的话，
31.
32.   也是ping不通的
本文出自 “冰鱼客” 博客 (责任编辑：IT)