centos 7系统iptables防火墙和端口配置

一,端口配置

开启redis端口,修改防火墙配置文件     vi /etc/sysconfig/iptables

加入端口配置   

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6379 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6379:7000 -j ACCEPT 

//开放6379到7000之间的端口

service iptables save

service iptables restart 

CentOS 7.0默认使用的是firewall作为防火墙,这里改为iptables防火墙。

1、关闭firewall:

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

防范DDOS攻击脚本

#防止SYN攻击 轻量级预防
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#用Iptables抵御DDOS (参数与上相同)
iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
##########################################################
防范CC攻击

当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
1.系统要求
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
(2)iptables版本:1.3.7
2. 安装
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
3. 配置相应的iptables规则

示例如下:

(1)控制单个IP的最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
#默认iptables模块不包含connlimit,需要自己单独编译加载,

(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
#单个IP在60秒内只允许最多新建30个连接

4. 验证

(1)工具:flood_connect.c(用来模拟攻击)
(2)查看效果:

使用
watch 'netstat -an | grep:21 | grep<模拟攻击客户机的IP>| wc -l'

实时查看模拟攻击客户机建立起来的连接数,
使用
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'

查看模拟攻击客户机被 DROP 的数据包数。
5.注意
为了增强iptables防止CC攻击的能力,最好调整一下ipt_recent的参数如下:
#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60
#记录1000个IP地址,每个地址记录60个数据包 #modprobe ipt_recent

时间: 2024-09-18 01:51:27

centos 7系统iptables防火墙和端口配置的相关文章

利用CentOS系统IPtables防火墙添加360网站卫士节点IP白名单

伴随着百度与加速乐合作的分离,百度也相继推出了自己的加速产品:百度云加速,不过,对于广大的站长们来说,百度云加速免费版本提供的节点太少了,而且在流量.DDoS防御上面做了一定的限制,以下为百度云加速名个套餐价格的对比: 相信,看了以上的数据,免费的百度云加速感觉有一些像鸡肋,相比之下,360网站卫士在这方面可能做得更好一些,360网站卫士是集网站防护.加速.运营为一体的一站式http://www.aliyun.com/zixun/aggregation/13744.html">管理服务平台

Linux系统iptables防火墙怎么设置

安装iptables防火墙 如果没有安装iptables需要先安装,CentOS执行: yum install iptables Debian/Ubuntu执行: apt-get install iptables 星期九所在的VPS上iptables设置为: *nat :PREROUTING ACCEPT [7978:1018059] :POSTROUTING ACCEPT [9376:593102] :OUTPUT ACCEPT [9376:593102] -A POSTROUTING -s

CentOS 7告iptables防火墙提示Unit iptables.service failed to load

一直用CentOS 6 习惯了,一下没适应过来.防火墙配置后执行service iptables save 出现"Failed to restart iptables.service: Unit iptables.service failed to load: No such file or directory."错误,在CentOS 7或RHEL 7或Fedora中防火墙由firewalld来管理,当然你可以还原传统的管理方式.或则使用新的命令进行管理. 假如采用传统请执行一下命令:

linux系统APF防火墙的安装配置图解

一.APF防火墙介绍 APF是一款Linux下的iptables防火墙,由R-fx Networks开发维护,实现代码基本为SHELL.个人觉得这是Linux下最易用,且强大的防火墙脚本.类似级别的还有Bastille,FireHol,Kill my firewall等.但我还是喜欢APF. 二.APF快速安装  代码如下 复制代码 cd /tmp wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz tar -xvzf apf

Linux中iptables防火墙指定端口范围

我需要700至800之间的端口都能tcp访问  代码如下 复制代码 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 700 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 701 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tc

使用Linux系统Iptables防火墙

Linux 的内置firewall机制,是通过kernel中的netfilter模块实现的(www.netfilter.ort).Linux kernel使用netfilter对进出的数据包进行过滤,netfilter由三个规则表组成,每个表又有许多内建的链组成.通过使用iptables命令可以对这些表链进行操作,如添加.删除和列出规则等. 一.Netfilter规则表-filter nat mangle filter,用于路由网络数据包.是默认的,也就是说如果没有指定-t参数,当创建一条新规则

linux系统防火墙iptables命令规则及配置

防火墙概述: 在互联网上我们的主机随时都有被攻击的可能,因此我们需要用到防火墙机制来保护我们互联网上的主机,在我们主机上面,防火墙主要是通过一些规则来限制一些不安全因素的网络信息传输,准确的说,防火墙就是制定一些有顺序的规则,来管理所负责的范围内的主机数据封包的一种机制,通过防火墙我们能够分析和过滤进出主机或者网络的封包数据,从而将一些不安全因素的包隔离开. iptables与netfilter: Linux上的防火墙是由iptables/netfilter组成,iptables是基于netfi

阿里云Centos配置iptables防火墙教程_Linux

虽说阿里云推出了云盾服务,但是自己再加一层防火墙总归是更安全些,下面是我在阿里云vps上配置防火墙的过程,目前只配置INPUT.OUTPUT和FORWORD都是ACCEPT的规则 一.检查iptables服务状态 首先检查iptables服务的状态 [root@woxplife ~]# service iptables status iptables: Firewall is not running. 说明iptables服务是有安装的,但是没有启动服务. 如果没有安装的话可以直接yum安装 y

一键配置CentOS iptables防火墙的Shell脚本分享_linux shell

手里几台VPS配置iptables太繁琐,看到了朱哥的LNMP脚本里有一个自动配置iptables防火墙的脚本,借来改了一下,给需要的人用: 只提供常用端口的设置,如果你有特殊需求只需自行添加或减少相应的端口即可: 使用方法: 复制代码 代码如下: chmod +x iptables.sh ./iptables.sh 设置iptables开机自动启动: 复制代码 代码如下: chkconfig --level 345 iptables on 完整Shell: 复制代码 代码如下: #!/bin/