关于linux 封IP 实用方法举例. 

范堡 发布于 2009/01/06 23:15
阅读 2K+
收藏 0

某天, 从某服务器http日志上.看到有某个IP每秒钟向服务器提交上百个请求.

攻击?. 先别管原因,反正就导致CPU资源暴长.

干掉吧~.

用哪个家伙? 当然是 iptable啊 !

可以直接在命令行输入以下指令干掉.

单个IP的命令是
iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的命令是
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP

禁止访问外部的某个IP

$   iptables   -A   OUTPUT   -d   203.16.1.89     -j   REJECT

封整个段的命令是
iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP

服务器启动自运行
有三个方法:
1、把它加到/etc/rc.local中
2、iptables-save >;/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执行。
3、service  iptables  save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。
后两种更好此,一般iptables服务会在network服务之前启来,更安全。

PS: 而解封则 iptables -I INPUT -s 211.1.0.0/16  -j  ACCEPT

IPTABLES 语法:

表: iptables从其使用的三个表(filter、nat、mangle)而得名, 对包过滤只使用 filter 表, filter还是默认表,无需显示说明.

操作命令: 即添加、删除、更新等。

链:对于包过滤可以针对filter表中的INPUT、OUTPUT、FORWARD链,也可以操作用户自定义的链。

规则匹配器:可以指定各种规则匹配,如IP地址、端口、包类型等。

目标动作:当规则匹配一个包时,真正要执行的任务,常用的有:

ACCEPT 允许包通过

DROP 丢弃包

一些扩展的目标还有:

REJECT 拒绝包,丢弃包同时给发送者发送没有接受的通知

LOG 包有关信息记录到日志

TOS 改写包的TOS值

加载中
0
红薯
红薯

狠好啊

0
JavaGG
JavaGG

非常good!!!!!!!!!!!!

返回顶部
顶部