[问题求助]关于iptables 的问题 [复制链接]

有个问题想请教一下大家

我看见网络上的一些文章注明，例如想防止P.ing of dea.th：             建材

可以用.如下iptables设置    健康
# iptables -A FORWARD -p i.cmp --icmp-type echo-request -m limit. --limit 1./s -j ACCEPT .

我现在的问题是，如果我用iptable.s -A FORWAR.D -j DROP             电子

是不是有一样的效果，扔掉所有F.ORWA.RD包不就好了？--- 印刷

F.ORWARD链转发是用来干什么的，我再.服务器上这样处理了，似乎没什么影响啊，我的服务器用来提供WEB和EMAIL服务的，谢谢大家投资

如果从效果上看应该是一样的，但是这个语句是防止，通过你的服务器的数据包的，不能控制到你服务器的数据包，所以你在服务器上用没有什么效果，你INPUT里用，就应该能看到效果了。

[quote]原帖由 "gouya"]如果从效果上看应该是一样的，但是这个语句是防止，通过你的服务器的数据包的，不能控制到你服务器的数据包，所以你在服务器上用没有什么效果，你INPUT里用，就应该能看到效果了。[/quote 发表：


那也就是说，FORWARD炼是可以关闭的对吗，不会对服务器有什么影响？
因为我这样写了，暂时没看出什么影响，怕有隐藏问题。

至于你说的在input里

是不是意思
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

变成
# iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
我想再问一下，这样句IPTABLES意思是不是，只允许一秒通过一个ping而触发条件是不是每秒5个，一旦有了每秒5个的PING，规则启用，每秒只允许通过一个？
如果我想触发条件每秒20个，是不是应该调整为
# iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 20 -j ACCEPT  

谢谢指点啊

糊涂了，网络上所有的相关文章，都操作是针对FORWARD链的

不明白啊，为什么既然已经IPTABLE -A FORWARD -j DROP

还要对FORWARD进行规则限定而不是针对INPUT呢

用户访问服务器不都是INPUT进来的吗，FORWARD有什么用呢？

希望有人能指点一二

进一步想象

防止同步包洪水（Sync Flood）
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT


防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT


Ping洪水攻击（Ping of Death）
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

这些都是对于FORWARD的，为什么不是INPUT？

如果对于了，INPUT
那么也仅仅是限制通过，但并没有防止攻击啊，允许通过是所有IP段，攻击发生的话还是存在不停访问，则势必100个通过规则里被占据了大部分，对于正常访问还是受影响了，是不是能针对某个单个IP访问一旦超过何种数量，则进行单个IP的流量限制呢，请各位大大指点。。

自己顶一下，期待有人指点

如果做服务器，可以忽略FORWARD链，改为INPUT就可以了

-p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
这个是可以ping通，但防止ping死，当然其余未匹配的最后要DROP才行

-p tcp --syn -m limit --limit 1/s -j ACCEPT
这个，我认为并不适用，假如请求的人很多，都是首次连接，难道一秒只让一个通过？！

-p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
这个我还不了解，对三次握手不熟悉，对包的各个状态不了解

QUOTE:原帖由 "platinum" 发表：
如果做服务器，可以忽略FORWARD链，改为INPUT就可以了

-p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
这个是可以ping通，但防止ping死，当然其余未匹配的最后要DROP才行

-p tcp --syn -m..........


我看了一些参考文档不是这个意思

如果你这么说，那么这就是一条通过的规则，启不是针对所有input先要有一个DROP

但我看的意思好像是，这是一条DROP规则，就是当条件为默认的limit-bursh 达到时只允许1/S，难道我理解错了？

并且，怎么才能做到针对某个超额的IP自动进行限制，而不是需要人工去看呢。。。。求解。。。