iptables實驗1

sjfbjs ? ? Linux干貨

Iptables 實驗1

基于狀態放行telnet, ftp, ssh, http, samba, icmp等服務;

(1) 對本機的ping請求每分鐘不得超出20個;

(2) 每客戶端對本機的ssh的并發連接數不得超過3個;

(3) 本機的telnet服務僅允許工作時間內訪問;

本機IP地址192.168.42.113

下面我們先放行所有入站狀態為ESTABLISHEDRELATED 的連接

iptables -A  INPUT -d 192.168.42.113  -m state –state RELATED,ESTABLISHED -j ACCEPT

我們放行所有出站請求為ESTABLISHED 的連接

iptables -A OUTPUT -s 192.168.42.113 -m state –state ESTABLISHED -j ACCEPT

接著我們定義兩個默認規則,不是我們高壓線所指定的連接我們就進行丟棄

 

iptables -A INPUT -j DROP

 

iptables -A OUTPUT -j DROP

 

 

blob.png行狀態為NEW telnet, ftp, ssh, http, samba, icmp等服務的連接;

我們對對應端口都添加規則,由于icmp協議被進行了限制,所以icmp協議我們只需要一條即可。

同理telinet服務我們也僅需定義一條進站就行;

iptables -I INPUT 2  -p tcp -d 192.168.42.113   -m multiport –dports 21,22,139,445,80  -m state –state NEW   -j ACCEPT

iptables -I INPUT 2 -d 192.168.42.113 -p udp -m multiport –dports 137,138  -m state –state NEW -j  ACCEPT

 

 

 blob.png

 

 

A:下面我們對本機的ping請求每分鐘不得超出20個           

iptables -I INPUT 2 -d 192.168.42.113  -p icmp –icmp-type 8  -m limit –limit  20/minute  –limit-burst 5   -j ACCEPT

 

 

B:每客戶端對本機的ssh的并發連接數不得超過3個;

iptables -I INPUT 2  -d 192.168.42.113  -p tcp  –dport 22 -m connlimit –connlimit-above 3 -j DROP

 iptables -I OUTPUT 1 -s 192.168.42.113 -p icmp –icmp-type 0 -m limit –limit 20/minute –limit-burst 5 -j ACCEPT

C:本機的telnet服務僅允許工作時間內訪問;

iptables -I INPUT 3  -d 192.168.42.113 -p tcp –dport 23  -m time –timestart 09:00  –timestop 17:00 –weekdays 1,2,3,4,5   -j ACCEPT

 

 

下面讓我們來實現一下先定義兩個默認規則:

 iptables -A INPUT -j    DROP

  iptables -A OUTPUT -j  DROP

 

 

限制登錄效果圖

 

blob.png

 

 

從下圖可以看出限制ping操作也成功了

blob.png

 

原創文章,作者:sjfbjs,如若轉載,請注明出處:http://www.www58058.com/53597

(0)
sjfbjssjfbjs
上一篇 2016-10-24
下一篇 2016-10-24

相關推薦

  • Linux sed命令詳則

    sed命令 sed是一種流編輯器,它是文本處理中非常好的工具,能夠完美的配合正則表達式使用,功能不同凡響。處理時,把當前的行儲存在臨時緩存區中,稱為“模式空間”(pattern space),接著用sed命令處理緩存區中的內容,處理完成后,把緩存區的內容送往屏幕。接著處理下一行,這樣不斷重復,直到文件末尾。文件內容并沒有改變,除非你使用重定向存儲輸出。Sed…

    2017-08-11

  • 計算機網絡基礎知識與Linux網絡配置

    本文主要內容是: 1.講述網橋、集線器、二層交換機、三層交換機、路由器的功能、使用場景與區別。 2、IP地址的分類有哪些?子網掩碼的表示形式及其作用 3、計算機網絡的分成模型有哪些(OSI模型和TCP/IP模型),每一層的功能及涉及到的物理設備有哪些。 4、如何給網絡接口配置多個地址,有哪些方式? 5、常用的網絡管理類工具有哪些,并用示例形式描述他們的使用方…

    Linux干貨 2016-11-14

  • Linux終端的類型

    Linux終端可以分為如下幾種類型    1、物理終端:是指通過鍵盤顯示器直接連接到主機的方式,我們也稱之為console端。    2、虛擬終端:是利用軟件的方式模擬實現類似物理終端的訪問方式,通常Linux內核開啟6個虛擬終端,分別使用Ctrl+Alt+F1~F6實現不同tty虛擬終端之間的切換,供多用戶或者多任務…

    Linux干貨 2016-10-29

  • Keepalive+Nginx高可用配置(主從)

    Keepalived高可用集群 一、Keepalived介紹 Keepalived軟件主要通過VRRP協議實現高可用功能的。VRRP是Virtual Router Redundancy Protocol(虛擬路由器冗余協議)的縮寫,VRRP出現的目的就是為了解決靜態路由單點故障問題,它能夠保證當個別節點宕機時,整個網絡可以不間斷地運行。keepalived除…

    Linux干貨 2016-12-30

  • LB-lvs

    Linux Cluster: Cluster:計算機集合,為解決某個特定問題組合起來形成的單個系統; Linux Cluster類型: LB:Load Balancing,負載均衡; HA:High Availiablity,高可用; A=MTBF/(MTBF+MTTR) (0,1):90%, 95%, 99%, 99.5%, 99.9%, 99.99%, …

    Linux干貨 2017-06-25

  • 自建repo軟件倉庫

    近期主要使用的aliyun的源,主要會用到centos6、zabbix、epel和xen等,由于網絡質量不佳,考慮到自建軟件倉庫 第一步,刪除系統自導的源,新建ali.repo,將常用的幾個源地址加入 # rm /etc/yum.repos.d/*.repo -fr # vim /etc/yum.repos.…

    Linux干貨 2016-05-19
欧美性久久久久