本文详细解析了iptables防火墙的规则配置,包括如何通过特定IP和端口限制访问次数,以及规则的匹配顺序。通过实例展示了如何放行特定IP的HTTPS请求,并在连接数超过100时进行拒绝。
- iptables 匹配规则是顺次匹配,只要匹配到就【REJECT(拒绝)、ACCEPT(允许)】
- iptables 匹配规则是倒叙插入,先匹配最新的规则
[root@xypt-activeback ~]# iptables -I INPUT -p tcp --dport 443 -s XXX.XXX.XXX.XXX -j ACCEPT
[root@xypt-activeback ~]# iptables -I INPUT -p tcp --dport 443 -s XXX.XXX.XXX.XXX -m connlimit --connlimit-above 100 -j REJECT
上面这两行命令可以限制XXX.XXX.XXX.XXX的访问次数,,
【第一行】放行所有 XXX.XXX.XXX.XXX
【第二行】连接超过100 时拒绝连接(限制访问)
[root@xypt-activeback ~]# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- XXX.XXX.XXX.XXX anywhere tcp dpt:https #conn src/32 > 100 reject-with icmp-port-unreachable
ACCEPT tcp -- XXX.XXX.XXX.XXX anywhere tcp dpt:https
按照这个顺序从上倒下匹配【有点switch的感觉】
【部分参数说明】
- 【-s】IP地址可以不要,则默认匹配全部
- 【–dport】设置匹配端口
- 【-j】设置操作,一般是两个REJECT(拒绝)、ACCEPT(允许)
- 【第一个参数】-I 添加, -D删除
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
