1、拒绝所有主机ping当前主机:
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
2、本机能够访问别的机器的HTTP服务,但是别的机器无法访问本机:
iptables -I FORWARD -m --state ESTABLISHD,RELATED -j ACCEPT
3、当我们发现有 ip 恶意攻击我们得时候,我们可以通过对防火墙设定规则来进行控制。所以我们可以 添加connlimit模块来实现对最大并发得控制。
1)限制每个客户端IP的ssh并发链接数量不能高于10
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 10 -j REJECT
2)限制某个C类网段只能有20个ssh客户端连接到当前服务器
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 20 --connlimit-mask24 -j REJECT
4、实践
1)systemctl -w net.ipv4.ip_forward=0 开启主机核心转发功能
2)iptables -t nat -A PREROUTING -d 192.168.1.129 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.18:22