系統的INPUT和OUTPUT默認策略為DROP；

1、限制本地主機的web服務器在周一不允許訪問；新請求的速率不能超過100個每秒；web服務器包含了admin字符串的頁面不允許訪問；web服務器僅允許響應報文離開本機；

規則：

# 周一不能訪問web服務
 ~]# iptables -R INPUT 1 -d 172.16.0.11 -p tcp --dport 80 -m time --weekdays Mon --kerneltz -j DROP  
# 新請求的速率不能超過100個每秒
 ~]# iptables -I INPUT -d 172.16.0.11 -p tcp --dport 80 -m limit --limit 100/second -j ACCEPT
# 包含了admin字符串的頁面不允許訪問
]# iptables -A OUTPUT -s 172.16.0.11 -p tcp --sport 80 -m string --algo bm --string "admin" -j DROP  
# web服務器僅允許響應報文離開本機(為了使用ssh，添加上22端口)
~]# iptables -A OUTPUT  -s 172.16.0.11 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT

規則列表：

[root@localhost ~]# iptables -nvL --line-numbers
Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      248 16124 ACCEPT     tcp  --  *      *       0.0.0.0/0            172.16.0.11          tcp dpt:80 limit: avg 100/sec burst 5
2        0     0 DROP       tcp  --  *      *       0.0.0.0/0            172.16.0.11          tcp dpt:80 TIME on Mon
3    26428 1735K ACCEPT     tcp  --  *      *       0.0.0.0/0            172.16.0.11          multiport dports 22,80 state NEW,ESTABLISHED

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       25  7650 REJECT     tcp  --  *      *       172.16.0.11          0.0.0.0/0            tcp spt:80 STRING match  "admin" ALGO name bm TO 65535 reject-with icmp-port-unreachable
2      115  8649 ACCEPT     tcp  --  *      *       172.16.0.11          0.0.0.0/0            multiport sports 22,80 state ESTABLISHED

問題1： 設定周一的限制不生效
解決方法： 重新登陸ssh

2、在工作時間，即周一到周五的8:30至18:00，開放本機的ftp服務給172.16.0.0網絡中的主機訪問；數據下載請求的次數每分鐘不得超過5個；

(1) 內核裝載ftp連接追蹤的專用模塊

~]# modprobe nf_conntrack_ftp
 ~]# lsmod | grep ftp
nf_conntrack_ftp       18638  0
nf_conntrack          105745  3 xt_conntrack,nf_conntrack_ftp,nf_conntrack_ipv4

(2) 添加規則

# 放行命令連接
 ~]#  ~]# iptables -A INPUT -s 172.16.0.0/16 -d 172.16.0.11 -p tcp --dport 21 -m time --timestart 08:30 --timestop 18:00 ! --weekdays Sat,Sun --kerneltz -m state --state NEW -m limit --limit 5/minute -j ACCEPT
# 放行所有已建立的連接和相關連接
~]# iptables -I INPUT -d 172.16.0.11 -m state --state ESTABLISHED,RELATED -j ACCEPT
放行所有已建立的連接（包括命令連接和數據連接）
~]# iptables -A OUTPUT -s 172.16.0.11  -m state --state ESTABLISHED -j ACCEPT

3、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機，x為你的座位號，新請求建立的速率一分鐘不得超過2個；僅允許響應報文通過其服務端口離開本機；

~]# iptables -A INPUT  -d 172.16.0.11 -p tcp --dport 22 -m iprange --src-range 172.16.0.1-172.16.0.100 -m limit --limit 2/minute -m state --state NEW,ESTABLISHED -j ACCEPT
~]# iptables -A OUTPUT -s 172.16.0.11  -m state --state ESTABLISHED -j ACCEPT

4、拒絕TCP標志位全部為1及全部為0的報文訪問本機；

# 拒絕標志位全部為1的報文
 ~]# iptables -A INPUT -d 172.16.0.11 -p tcp --tcp-flags ALL ALL -j DROP
# 拒絕標志位全部為0的報文
 ~]# iptables -A INPUT -d 172.16.0.11 -p tcp --tcp-flags ALL NONE -j DROP

5、允許本機ping別的主機；但不開放別的主機ping本機；

本機ping別的主機：
~]# iptables -A OUTPUT -s 172.16.0.11 -p icmp --icmp-type 8 -j ACCEPT             #請求出去
~]# iptables -A INPUT -d 172.16.0.11 -p icmp --icmp-type 0 -j ACCEPT             #請求響應

不開放別的主機ping自己，默認DROP已經拒絕

6、判斷下述規則的意義：

# iptables -N clean_in
 創建自定義鏈clean_in
  # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP  
 丟棄對受限的廣播地址255.255.255.255的ping包
  # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP
 丟棄對指向網絡的廣播地址172.16.255.255的廣播ping包
  # iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP  
 丟棄tcp連接非第一次握手的新連接請求包
  # iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP  
 丟棄標志位全為1的報文---非正常報文
  # iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP
 丟棄標志位全為0的報文---非正常報文
  # iptables -A clean_in -d 172.16.100.7 -j RETURN 
 目標地址為172.16.100.7的包返回到主鏈  

 總結1： 以上規則定義了一個自定義鏈，丟棄所有的不正常報文，對正常報文返回到主鏈繼續處理，
 總結2： 自定義鏈只能被調用

  # iptables -A INPUT -d 172.16.100.7 -j clean_in
  對目標主機172.16.100.7的報文調用自定義鏈clean_in處理

  # iptables -A INPUT  -i lo -j ACCEPT  
  允許數據報文流入本地回環接口lo
  # iptables -A OUTPUT -o lo -j ACCEPT
  允許數據報文流程本地回環接口lo
  總結3： 以上兩條是開放本地回環接口   

  # iptables -A INPUT  -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP
  指定流入接口為eth0，訪問tcp端口53，113，135，137，139，445的請求報文丟棄

  # iptables -A INPUT  -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP
  指定流入接口為eth0,訪問udp端口53,113,135,137,139,445的請求報文丟棄

  # iptables -A INPUT  -i eth0 -p udp --dport 1026 -j DROP
  丟棄流入接口為eth0，訪問udp 1026端口的請求

  # iptables -A INPUT  -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP
  流入接口為eth0,訪問1433，4899端口的tcp連接請求丟棄
  # iptables -A INPUT  -p icmp -m limit --limit 10/second -j ACCEPT
  限制ping包速率每秒不超過10個

以下是一位同學的總結，感覺不錯，記錄于此

規則說明：
1） 首先創建了一個名為clean_in的自定義鏈，該鏈用來對目標地址為172.16.100.7的所有訪問進行初次過濾，將含有非法的廣播ping包以及異常的tcp連接剔除出去，剩下的包則通過RETURN返回給INPUT鏈，并由INPUT鏈后面的策略繼續進行匹配；
2）INPUT鏈允許對本地lo的請求包以及由lo發出的包，此類請求通常是針對lvs-dr模型下的rs；
3） INPUT鏈拒絕到本機dns，nfs訪問，4899（radmin遠程控制軟件端口，容易被黑客控制），1433（SQL-SERVER端口），1026端口，并拒絕每秒超過10次的Flood-ping包。

7、通過tcp_wrapper控制vsftpd僅允許172.16.0.0/255.255.0.0網絡中的主機訪問，但172.16.100.3除外；對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日志文件中；

]# vim /etc/hosts.allow
vsftpd:172.16. EXCEPT 172.16.0.12
#此處因測試需要改為172.16.0.12
]# vim /etc/hosts.deny
vsftpd:ALL:spawn /bin/echo $(date) login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log

效果：
172.16.0.10主機可以訪問

[root@localhost ~]# ftp 172.16.0.11
Connected to 172.16.0.11 (172.16.0.11).
220 (vsFTPd 3.0.2)
Name (172.16.0.11:root): centos
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (172,16,0,11,86,64).
150 Here comes the directory listing.
226 Directory send OK.

172.16.0.12訪問被拒絕

[root@localhost ~]# ftp 172.16.0.11
Connected to 172.16.0.11 (172.16.0.11).
421 Service not available.
ftp> ls
Not connected.
查看拒絕日志： 
[root@localhost centos]# cat /var/log/tcp_wrapper.log
Thu May 4 23:25:07 CST 2017 login attempt from 172.16.0.12 to vsftpd@172.16.0.11, vsftpd