linux防火墙

对链接中的数据包进行放行 linux防火墙ESATBLISHED 保持链接 RELATED 建立中产生额外的链接iptables -I INPUT -p icmp --icmp -type 8 -j DROP 加入这个规则外网平不同内外 内外可以平通外网加入规则之后ping 不同 icmp 八中规则DORP掉linux防火墙没加入规则之前可以ping通 linux防火墙nat 表应用linux防火墙1.增加网卡 选择LAN区段 可以自己添加 相当于连接到一个内网的交换机上 外网链接不上 linux防火墙2.第二个机器也要添加一块网卡 已经有网卡的不要选择启动时链接！！必须选择同一个区段linux防火墙3.配置第一个机器的IP 暂时设置IP 没有配置文件 需要拷贝linux防火墙4.另一台机器 设置新加网卡IP 内网IP linux防火墙5.打开路由 打开端口转发 默认为0linux防火墙6.添加规则iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADElinux防火墙7.B机器设置网关 route -n linux防火墙8.设置DNS ping 外网linux防火墙需求2想要远程登录2机器 通过1机器跳转到2机器 把2机器的22端口映射成其它端口 访问这个端口就是在访问2机器的22端口1.打开路由转发 删除之前的规则linux防火墙2.添加规则1.PREROUTING 进来的包 目标IP 端口 1122 转发到 目的IP 端口 从130的包转到100linux防火墙2.回来来的包 IP 从100.100回来的包 经过SNAT to 源IP 从100回来的包转到源IP 130linux防火墙3.添加网关2linux防火墙4.新建会话 映射的端口linux防火墙5.链接外网linux防火墙6.w 产看用户linux防火墙iptables -I INPUT -m iprange --src-range 61.4.176.0-61.4.191.255 -j DROP 拒绝一个网段的数据链接iptables限制syn速度原理，每5s内tcp三次握手大于20次的属于不正常访问。

iptables -A INPUT -s ! 192.168.0.0/255.255.255.0 -d 192.168.0.101 -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name httpuser --rsource

iptables -A INPUT -m recent --update --seconds 5 --hitcount 20 --name httpuser --rsource -j DROP其中192.168.0.0/255.255.255.0 为不受限制的网段， 192.168.0.101 为本机IP。该iptables策略，可有效预防syn***，也可以有效防止机器人发垃圾帖。