Iptables 实验1
基于状态放行telnet, ftp, ssh, http, samba, icmp等服务;
(1) 对本机的ping请求每分钟不得超出20个;
(2) 每客户端对本机的ssh的并发连接数不得超过3个;
(3) 本机的telnet服务仅允许工作时间内访问;
本机IP地址192.168.42.113
下面我们先放行所有入站状态为ESTABLISHED和RELATED 的连接
iptables -A INPUT -d 192.168.42.113 -m state –state RELATED,ESTABLISHED -j ACCEPT
我们放行所有出站请求为ESTABLISHED 的连接
iptables -A OUTPUT -s 192.168.42.113 -m state –state ESTABLISHED -j ACCEPT
接着我们定义两个默认规则,不是我们高压线所指定的连接我们就进行丢弃
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
行状态为NEW 的telnet, ftp, ssh, http, samba, icmp等服务的连接;
我们对对应端口都添加规则,由于icmp协议被进行了限制,所以icmp协议我们只需要一条即可。
同理telinet服务我们也仅需定义一条进站就行;
iptables -I INPUT 2 -p tcp -d 192.168.42.113 -m multiport –dports 21,22,139,445,80 -m state –state NEW -j ACCEPT
iptables -I INPUT 2 -d 192.168.42.113 -p udp -m multiport –dports 137,138 -m state –state NEW -j ACCEPT
A:下面我们对本机的ping请求每分钟不得超出20个
iptables -I INPUT 2 -d 192.168.42.113 -p icmp –icmp-type 8 -m limit –limit 20/minute –limit-burst 5 -j ACCEPT
B:每客户端对本机的ssh的并发连接数不得超过3个;
iptables -I INPUT 2 -d 192.168.42.113 -p tcp –dport 22 -m connlimit –connlimit-above 3 -j DROP
iptables -I OUTPUT 1 -s 192.168.42.113 -p icmp –icmp-type 0 -m limit –limit 20/minute –limit-burst 5 -j ACCEPT
C:本机的telnet服务仅允许工作时间内访问;
iptables -I INPUT 3 -d 192.168.42.113 -p tcp –dport 23 -m time –timestart 09:00 –timestop 17:00 –weekdays 1,2,3,4,5 -j ACCEPT
下面让我们来实现一下先定义两个默认规则:
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
限制登录效果图
从下图可以看出限制ping操作也成功了
原创文章,作者:sjfbjs,如若转载,请注明出处:http://www.178linux.com/53597
