CODE:
#default:
别小瞧了这简单的脚本,它的功能还是很强大的,"麻雀虽小,五脏具全" 重点就在它的"状态检测"上,在INPUT上它封部分的扫描(iptables -A INPUT -m state --state new -p tcp ! --syn -j DROP),并把它记录在目志,这样就可以分析是"谁"对你有过"想法"! 关于扫描和用iptables 封扫描也不只是这些,所以这里只是起个抛砖引玉的作用,有兴趣 的可以在这里讨论........iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #-------------------------------------------- #INPUT: iptables -A INPUT -m state --state new -p tcp ! --syn -j LOG --log-level info --log-prefix "Syn!New" iptables -A INPUT -m state --state new -p tcp ! --syn -j DROP iptables -A INPUT -m state --state extablished,related -j ACCEPT iptables -A IPNUT -p tcp -m multiport --dport 22,80,3306 -j ACCETP #--------------------------------------------- #FORWARD: iptables -A FORWARD -m state --state extablished,related -j ACCEPT iptables -A -p tcp -m multiport --dport 22,80,3306 -j ACCETP iptables -A IPNUT -p tcp -m multiport --dport 20,21,25,80,110,443,8080 -j ACCETP 在FORWARD里来减少已经建立好连接的数据包的匹配(iptables -A FORWARD -m state --state extablished,related -j ACCEPT),这句可能很不好理解,也可以理解为"如果一个连接 的三次握手都已经放过了,其余的就全部放过"下面的策略就是开权限了,懂得点iptables 的人很容易理解! |
|