Linux 使用 iptables屏蔽IP段

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。 [喝小酒的网摘]http://blog.hehehehehe.cn/a/7674.htm

netfilter/iptables 的最大优点是它可以配置有状态的防火墙，这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态，名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED 。 

#添加屏蔽IP
#禁止此IP访问服务器
iptables -I INPUT -s 1.2.3.4 -j DROP
或
iptables -A INPUT -s 1.2.3.4 -j DROP
#禁止服务器访问此IP
iptables -A OUTPUT -d 1.2.3.4 -j DROP
如果要封某个网段：
iptables -I INPUT -s 1.2.3.0/24 -j DROP

#清空屏蔽IP
iptables -t filter -D INPUT -s 1.2.3.4 -j DROP
iptables -t filter -D OUTPUT -d 1.2.3.4 -j DROP

#一键清空所有规则
iptables -F

#查看
iptables -L INPUT
或
iptables -L
或
iptables-save（此命令将保存规则，下次开机自动执行）

#处理IP碎片数量,防止攻击,允许每秒100个
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
#设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT[喝小酒的网摘]http://blog.hehehehehe.cn/a/7674.htm

转载自 [blog.hehehehehe.cn]喝小酒的网摘 及本文链接地址:http://blog.hehehehehe.cn/a/7674.htm

相关文章

• 网络判断操作相关经典命令行
• user-agent判断是否支持js
• asp导成excel
• ASP错误代码说明
• NeoSpeech中文男声语音Liang安装包及特别文件电驴下载地址

访问来源#

• IP:218.16.40.154:iptables
• IP:220.249.15.190:iptable 屏蔽ip
• IP:114.222.44.213:iptables drop 正则
• IP:14.16.12.140:linux 过滤 迅雷的包
• IP:58.213.46.202:屏蔽 c 网段 iptables
• IP:219.151.40.121:屏蔽 IP mac
• IP:180.168.34.26:iptables 屏蔽 ip