[问题求助]关于iptables限ip和端口的问题，请各位高手赐教 [复制链接]

我.的服务器是apache+mysql的ip地址为222.90.32.*. 健康
问题1.：22端口和3306端口，我只想让123.234..213.223可以连接，其他地址全部DROP。           建材
问题2：如何阻止DDOS攻击
请各位高手赐教

我来回答

1、针对第一条要求，看置顶的教程。
2、对于防止DDOS，除了把SYN COOKIES打开外没有更好的方法。

谢谢，我看看，再次谢谢

iptables -A FORWARD -m state --state NEW -m multiport -p tcp -s 123.234.213.223 -d 222.90.32.?? --dport 22,3306 -j ACCEPT

BTW.  字不要用这么大，看得晕

QUOTE:原帖由 富贵猫 于 2007-9-28 11:16 发表
iptables -A FORWARD -m state --state NEW -m multiport -p tcp -s 123.234.213.223 -d 222.90.32.?? --dport 22,3306 -j ACCEPT

我更改了IP在我的测试机上 尝试了这个似乎不能起到作用 输入这个命令没有报错
继续关注默认INPUT全部DROP开启需要开启的其中
iptables -A INPUT -p tcp -s 123.234.213.223 -d 222.90.32.?? --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 123.234.213.223 -d 222.90.32.?? --dport 3306 -j ACCEPT
这样可以做到
但是如何将两句用-m multiport写到一行呢？

[ 本帖最后由 xuledw 于 2007-9-29 10:46 编辑 ]

以解决，还是要看手册呀
iptables -A INPUT -s ! clientip/32 -d serverip -p tcp --dport 3306 -j DROP
iptables -A INPUT -s ! clientip/32 -d serverip -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

上面的 ! 用法存在逻辑问题（如果两个的 clientip 和 serverip 一样的话）
上面的 limit 用法也不对，看手册看的不到位

另外：郑重警告你，签名和头像不要变相做广告，请立即改正，否则禁言，这里先礼后兵了！

你的默认策略是ACCEPT还是DROP?把默认INPUT链和FORWARD链策略设置为DROP

如果默认全部禁止
iptables -A INPUT -i eth0  -p tcp -m multiport -s 123.234.213.223  -d 222.90.32.* --destination-port 22,3306 -j ACCEPT
尝试了下这样可以解决