iptables

1、拒绝所有主机ping当前的主机

iptables -A INPUT -p icmp -j REJECT

2、本机能够访问别的机器的HTTP服务，但是别的机器无法访问本机。  

iptables -t nat -A POSTROUTING -s 10.0.0.0/24(内网网段，也可指具体IP) -j MASQUERADE

 3、当我们发现有 ip 恶意攻击我们得时候，我们可以通过对防火墙设定规则来进行控制。所以我们可以 添加connlimit模块来实现对最大并发得控制。请写出步骤

格式：

--connlimit-upto N #连接的数量小于等于N时匹配

--connlimit-above N #连接的数量大于N时匹配

iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT

 

 

小实验：

注：生产不使用

现在我在外地出差使用A7互联网主机，但是现在由于公司有业务需要我 ssh 链接到内网、这时候 我就链接我们公司同事在防火墙上配置相关规则让我链接进公司内网

主机名  IP地址                                          　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　充当角色

A7        192.168.1.128（仅主机） eth0    　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　互联网服 务器

A8         192.168.1.129（仅主机）/eth1 10.0.0.8（NAT）/eth0 NAT设备他有一个是链接外网的ip有一个是链接内网的ip。　   　防火墙 NAT设备

B8 　　10.0.0.18（NAT）eth0　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　　 　局域网服务器

前提：内网路由指向防火墙，防火墙开启路由转发

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE