iptables

http://www.cnblogs.com/hiloves/archive/2011/07/19/2109899.html   使用 iptables 限制黑客猜密码续―深入 recent 模块

http://liuxin1982.blog.51cto.com/4338970/771268  iptables之recent

http://sookk8.blog.51cto.com/455855/321242  iptables防DDOS攻击和CC攻击设置

http://leeyin.iteye.com/blog/1819570  iptables常用

案例：对连接到本机的SSH连接进行限制，每个IP每小时只限连接5次

-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 3600 --hitcount 5 -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT

常用命令：

删除规则 iptables -D INPUT 3
将所有iptables以序号标记显:iptables -L -n --line-numbers
iptables -F        清除预设表filter中的所有规则链的规则
iptables -X        清除预设表filter中使用者自定链中的规则
iptables -N syn-flood 自定义链
iptables -m
iptables -j RETURN 结束在目前规则炼中的过滤程序，返回主规则炼继续过滤
/etc/sysconfig/iptables
filter表：INPUT/OUTPUT/FORWARD
nat表：OUTPUT/PREROUTING/POSTROUTING

设定预设规则： iptables -p INPUT DROP
开启80端口： iptables -A INPUT -p tcp --dport 80 -j ACCEPT
80端口的数据转发到8080端口：iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
只允许192.168.1.122进行SSH连接：iptables -A INPUT -p tcp -s 192.168.1.122 --dport 22 -j ACCEPT
允许接收远程主机的HTTP请求 : iptables -A INPUT -i eth0 -p tcp �Cdport 80 -m state �Cstate NEW,ESTABLISHED -j ACCEPT 

本机路由转发的时候，才配置FORWARD转发链！
# iptables �CA FORWARD �Cs 192.168.0.0/24 �Cj ACCEPT
# iptables �CA FORWARD �Cd 192.168.0.0/24 �Cj ACCEPT
上面只是打通了局域网通过此机的Forward的通道，也就是打通了局域网与外网的链路，实际上并起不到任何的作用，因为在内核里面的转发文件并没有打开，因为我们要手工修改/proc/sys/net/ipv4/ip_forward的值，将默认的0改为1~！（1为打开，0为关闭）