http://www.cnblogs.com/hiloves/archive/2011/07/19/2109899.html   使用 iptables 限制***猜密码续—深入 recent 模块

http://liuxin1982.blog.51cto.com/4338970/771268  iptables之recent

http://sookk8.blog.51cto.com/455855/321242  iptables防DDOS***和CC***设置

http://leeyin.iteye.com/blog/1819570  iptables常用


案例:对连接到本机的SSH连接进行限制,每个IP每小时只限连接5次

-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 3600 --hitcount 5 -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT

常用命令:

删除规则 iptables -D INPUT 3
将所有iptables以序号标记显:iptables -L -n --line-numbers
iptables -F        清除预设表filter中的所有规则链的规则
iptables -X        清除预设表filter中使用者自定链中的规则
iptables -N syn-flood 自定义链
iptables -m
iptables -j RETURN 结束在目前规则炼中的过滤程序,返回主规则炼继续过滤
/etc/sysconfig/iptables
filter表:INPUT/OUTPUT/FORWARD
nat表:OUTPUT/PREROUTING/POSTROUTING

设定预设规则: iptables -p INPUT DROP
开启80端口: iptables -A INPUT -p tcp --dport 80 -j ACCEPT
80端口的数据转发到8080端口:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
只允许192.168.1.122进行SSH连接:iptables -A INPUT -p tcp -s 192.168.1.122 --dport 22 -j ACCEPT
允许接收远程主机的HTTP请求 : iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT 


本机路由转发的时候,才配置FORWARD转发链!
# iptables –A FORWARD –s 192.168.0.0/24 –j ACCEPT
# iptables –A FORWARD –d 192.168.0.0/24 –j ACCEPT
上面只是打通了局域网通过此机的Forward的通道,也就是打通了局域网与外网的链路,实际上并起不到任何的作用,因为在内核里面的转发文件并没有打开,因为我们要手工修改/proc/sys/net/ipv4/ip_forward的值,将默认的0改为1~!(1为打开,0为关闭)