我用的是REDHAT 9,.双网卡,ET.H0.接外部网络.最近受到猛烈的DOS攻击,攻击来自224.xx.xx.0/24网段.我用tcpdump可以看到大量.的ACK连接,我运行了以下的IPTABLES脚本.然后执行以下命令,想封闭来自224.xx.xx.0/24网段的包,但是没有作用,命令如下:.
iptables -A FORW.ARD -s 224.xx.xx.0/24 -d 192.168..1.1 -j 建材
iptables -A INPUT -s 224.xx.xx.0/24 -d 1.92.168.1.1 -j. 杀毒
#!/bin/sh
#外网网卡
EXT_IF="eth0"
FW_IP="61.xx.xx..xx" .
#内网网卡
INT_IF="eth1"
LAN_IP="192..168.1.1" 美容
LA.N_I.P_RANGE="192.168.1.0/255.255.255.0" 虚拟主机
SERVER1=".192.168.1.1".
#加阅模块,一般已内建
#M.odule loading. 外贸
#echo "modpr.obe modules" 电子
#m.odprode ip_tables .
#modp.rode ip_nat_ftp 虚拟主机
#modprode ip_conntrack. 婚庆
#m.odprobe ip_co.nntrack_ftp 服务器
#启用转发(forwa.rd)功能 <性病>
ech.o "enabling. IP FORWARDING......" .
echo "1" >; /proc/sys/net/ipv4/ip_.forwa.rd 女人
#规则初始化,设置默认都为drop. 乙肝
echo "e.nabling iptabl.es rules" --- 印刷
#reset t.he defaul.t policies in the tables 女人
iptables -F
iptables -X
iptables -F -t. mangle .
iptables -.X -t mangle .
iptables -F .-t nat 建材
iptabl.es -X -t nat .
iptables -Z .-t nat 外贸
#set policies
iptables -P INPUT DRO.P 美容
iptables -P FORWARD DR.OP --------------彩票
iptables -P O.UTPUT DROP 汽车
###----.-----------------------------------------------------.--------### 乙肝
#过虑蠕虫病毒
#444/445/69/135/139 .--------------彩票
###--------------------------.--------------.-------------------------### 服务器
iptab.les -A FORWARD -p tcp --dport 4444 -j. DROP 外贸
ipta.bles -A FORWARD -p udp --dport 4444 -j .DROP
iptables -A FORWARD -p tcp --dpo.rt 4.45 -j DROP
iptables -.A FORWARD -p udp --dport 445. -j DROP .
iptables -A FORWARD -p t.cp --dpor.t 69 -j DROP --------------彩票
iptables -A. FORWAR.D -p udp --dport 69 -j DROP 女人
iptables -A. FORWARD -p. tcp --dport 135 -j DROP 服务器
iptables -A .FORWARD -p udp --dpor.t 135 -j DROP 电子
iptables -A FORWARD -p. tcp --dport 139 -j DROP . 电子
ipt.ables -A FORWARD -p. udp --dport 139 -j DROP 虚拟主机
###----.----------------------------------------------------------##.# 建材
#允许pin.g localhost,ping 192.168.0..1/2 <性病>
#a.llow loopback access [成人用品]
###------------------------------------.----------.----------------### .
iptables -A INPUT -p icmp .-i lo -j AC.CEPT 域名
iptables -A OUT.PUT -p icmp -o. lo -j ACCEPT 域名
#打开内对内连接
#iptables -A. INPUT -i. lo -j ACCEPT 建材
###-----------------.------------------------------------.--------### 杀毒
#允许代理和内.网客户机相互传输数据(包括pi.ng) 学习
#allow ping. LAN 虚拟主机
###-------------------.----.-------------------------------------### 学习
iptables -A INPUT -.p ALL -i $INT_.IF -s $LAN_IP_RANGE -j ACCEPT .
iptables -A OUTPUT -p ALL -o $INT_IF .-d $LAN_IP_RANGE -j .ACCEPT .
#拒绝外部使用内网进行欺骗
#deny local cheat . 鲜花
iptables -A INP.UT -i $EXT_IF. -s 192.168.0.0/16 -j DROP 乙肝
iptables -A INPUT -i $EXT._IF -s 10.0.0.0/.8 -j DROP .
iptables -A INPUT -i $EXT_IF -s 17.2..16.0.0/12 -j DROP 杀毒
iptables -A INPU.T -i $EXT_IF -s 127.0.0.0/8. -j DROP .
#从LAN进入防火墙主机.的dhc.p封包,不于放行,只有防火墙担任DHCP时才放行 美容
#deny DHCP_pa.ckets. from LAN [成人用品]
iptables -.A INPUT -p udp .-i $INT_IF --dport 67 --sport 68 -j DROP 虚拟主机
###--------.----------------------.------------------------------------.-----------------### 杀毒
#配置向外方向的TCP.规则,其中,--state ESTABLISHED ,NEW参数.指定要检查哪个状态. 虚拟主机
#ESTABLISHED标志匹配属于已有的TCP.连接的封.包. 电子
#NEW标志指定试图创建一条新的TCP连接的第一个封包,这条..规则指明属于新建的和已建立的 教育
#TCP连接的封包将会通过eth0.端口向外发送. --------------彩票
###------.-----------------------------.-------------------------.-----------------------### 虚拟主机
iptables -A OUTPUT -o $EXT_IF -p tcp -m st.ate --state E..STABLISHED,NEW -j ACCEPT 鲜花
###---------.------.-------------------------------------------.------------------------### .
#定义从外网到内网的封包
#检查到达.外部.网络接口的封包状态.属于已有TCP连接的封包都允许通过 域名
# 从WAN到LAN.的封包仅放行回应封包 .
###---------------------------.----------.----------------------------------------------.--### 虚拟主机
iptables -A INPUT . .-i $EXT_IF -p tcp -m state --state ESTABLISHE.D,RELATED -j ACCEPT .
iptables -A FORWARD -i $EXT_IF -p tcp -m state -.-.state ESTABL.ISHED,RELATED -j ACCEPT 建材
ip.tables -A FORWARD -i $EXT_IF -p udp -m sta.te --state ESTABLISHED,RELATED -j ACC.EPT .
###-------------------------------------.---.-.--------------------------------------------### .
#定义拇内网到外网的封包
###------------------------------------------------------------------.-------.---------.---### 健康
iptables -A FORWARD -i $INT_IF -s $.LAN_.IP_RANGE -j ACCEPT --------------彩票
###--.--.-------------.--------------------------------------------------------------------### .
# 限制过滤规则的比对频率为每分钟平均流量三.个封包(超过上限的封包将暂.停比对), .
#并将瞬间流量设定为一次最多处理.三个封包(超过上限的封包将丢弃.不予处理), 电脑
#这类封包通常是黑客用.来进行阻断式攻击 .
###-----.--------------------------------------------------------------------------.------###. 外汇
iptables -A INPUT -m limit --li.mit 3/minute --limit-burst 3 -j LOG --log-level IN.FO --log-prefix ."IPT INPUT packets died:" 女人
###--------------.----------------------.-------------------------------------### . 建材
#我们接受所有的IP碎片,但采用limit匹.配扩展对其单位时间可以.通过的IP碎片数量进行 .
#限制,以防IP碎片攻击.
#对.不管来自哪里的ip碎片都进行控制,允许每秒通过10.0个碎片 鲜花
#.##---------------.----------.------------------------------------------------### .
iptables -A FORWA.RD -f -m. limit --limit 100/s --limit-burst 100 -j ACCEPT 建材
#.##------.----------------------------------------------------.---------------### 婚庆
#ICMP包通常用于网络测试,故允许.所有的ICMP包通过.但黑客常常采用icmp进行攻.击 .
#icmp包通过的控制,防止icmp黑客攻击,允.许每秒钟通过一.个包 (广告)
##.#----------------------.-------------------------.--------------------------### --- 印刷
iptables. -A FORWARD -p icmp -m limit --lim..it 1/s --limit-burst 10 -j ACCEPT .
###-----------------------.--------------------.--------------------.----------### 电脑
#DOS(denial of ser.vice拒绝服务)和DDOS(Distributed denial of service. 分布式 健康
#拒绝服务)SYN FOOD由于其攻击效.果好.,已经成为目前最流行的DOS和DDOS攻击手段 健康
# 防止DDOS
###---..-------------------------------------------------.---------------------### (广告)
iptables .-A FORWARD -p tcp .--tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1./s -j ACCEPT 服务器
###--.--------------------.--------.-------------------------------------------### 美容
# UDP包一律放行
# allow UDP
###----------------------------.------------.-------------.--------------------### 外汇
iptables -A FO.RWARD -p udp -d $LAN_IP_RANGE -i $EXT_IF -j AC.CEPT 健康
###-----------------------.-------------------------------------------------.##.# 外贸
#开.放内部主机可以SSH至外部的主机 SSH po.rt:22 .
###.-------------------------------------------.-----------------------------#.## 学习
iptables -A .INPUT -i $EXT_IF -p tcp --dport .22 -j ACCEPT 学习
###---.--..--------------------------------------------------------------------### .
#启动.内部对外部转址:源网络地址转换SNAT <性病>
###--------.----------------------------------..-------------------------------### 服务器
iptables -t nat -.A POSTROUTING -o $EXT_IF -s $LAN_IP_RAN.GE -j SNAT --to $FW_I.P 建材
###-----------------.----------------------------------------.-.---------------### .
#启动外部对内部转址(设置.内网
www.W服务器映射)DNAT [成人用品]
##.#.-----------.--------------------------------------------------------------### .
###--.------------------------------------------------.---### 电子
# 开放浏览网页的通.道 .http port 80 3389端口.
###-----------------------.--.----------------------------### 域名
iptables -A INP.UT -i $EXT_IF -p tcp --dport 80 -j ACCE.PT( 游戏 )
iptables -A FORWARD -i $EXT_IF -p t.cp --sport 8.0 -d $SERVER1 --dport 80 -j. ACCEPT .
iptables -t nat -A PREROUTING -i $EXT_IF -p .tcp -d $FW_IP --dport 123.4 -j DNAT --to $SERVER1.:80 虚拟主机
iptables -A .INPUT -i $.EXT_IF -p tcp --dport 3389 -j ACCEPT( 游戏 )
iptables -.A FORWARD -i $EXT_IF -p tcp --sport 3389 -d $SERVER1 .--dport 3389 -j ACC.EPT .
iptables -t nat -A PREROUTING -i $EXT_IF -p tcp -d $FW_IP --dport 3.389 .-j DNAT --to $SERVER1:33.89电脑
