iptables常用命令
iptables -nv -L 查看iptables列表
iptables -F 清空iptables规则
iptables-save > /etc/sysconfig/iptables 保存iptables规则到文件
service iptables restart 重启iptables
以下是我服务器的iptables配置
# Generated by iptables-save v1.4.7 on Tue Jul 5 12:06:29 2016 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4:4940] -A INPUT -i lo -j ACCEPT #允许本地回环 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #允许服务器访问外网,例如curl,wget -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #允许所有IP访问网站 -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT #允许ping请求 -A INPUT -s 61.149.47.34/32 -p tcp -m tcp --dport 3306 -j ACCEPT #允许公司IP访问MySQL -A INPUT -s 61.149.47.34/32 -p tcp -m tcp --dport 6379 -j ACCEPT #允许公司IP访问Redis -A INPUT -p tcp -m multiport --dports 8081,10050,65008 -j ACCEPT #允许所有IP访问8081,10050,65008端口,ps:65008是我的ssh端口 -A INPUT -j REJECT --reject-with icmp-port-unreachable #拒绝所有的IP访问所有的端口 COMMIT # Completed on Tue Jul 5 12:06:29 2016
防止攻击
防范DDOS攻击脚本 #防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃 iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 防范CC攻击 (1)控制单个IP的最大并发连接数 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30 (2)控制单个IP的某段时间的连接数 iptables -A INPUT -p icmp -m limit --limit 1/m --limit-burst 10 -j REJECT iptables -A INPUT -p icmp -j DROP