其实，利用iptables的也可以实现类似的功能。脚本如下：

iptables -t mangle -N LMT
iptables -t mangle -N LMT2
iptables -t mangle -I FORWARD -d 192.168.1.100 -m length --length 128: -j LMT
iptables -t mangle -A LMT -m recent --rdest --name badguy --rcheck --seconds 60 -j LMT2
iptables -t mangle -A LMT -m limit --limit 100/sec --limit-burst 5000 -j RETURN
iptables -t mangle -A LMT -m recent --rdest --name badguy --set -j RETURN
iptables -t mangle -A LMT2 -m limit --limit 50/sec --limit-burst 5000 -j RETURN
iptables -t mangle -A LMT2 -j DROP
复制代码

上面代码是用limit限制计算速率，为了更准确，使用了数据包长度筛选: “-m length --length 128:”，这样更准确一点。
一般限制为100/s，按照数据包平均大小1000Bytes来算，大概就是100KB/S。
如果超出，限制变为50/sec，大约50KB/S。

当然，这只是一个示范性的例子了，其中limit模块也可以改用更为强大的hashlimit，hashsped等模块。
还可以用connlimit使用连接数作为限制条件。。。。。。。。。。
如果再把这些模块结合MARK和TC流量控制，就实现了某些路由器的所谓“条件限速”“P2P惩罚”等功能。

转载自：http://linux.chinaunix.net/bbs/thread-1156170-1-1.html

以上配置说明，本机开放可供服务的端口有22/TCP（有连接频率限制）,53/TCP/UDP, 80/TCP, 443/TCP，所有发往本机的其他ip报文则认为是端口扫描，如果一分钟之内超过20次，则封禁该主机，攻击停止一分钟以上自动解封。
在这只是取个抛砖引玉的作用，通过recent模块还可以实现很多更复杂的功能，例如：22/TCP端口对所有主机都是关闭的，通过顺序访问23/TCP 24/TCP 25/TCP之后，22/TCP端口就对你一个IP地址开放等等。

80是不能封的，封了客户端就连接不了
想到用iptables禁止浏览器对80的访问
问了些QQ群的朋友，可以实现

先看下有没有string这个模块
iptables -m string --help
如果有，它会提示一堆帮助信息，没有则显示
iptables v1.2.11: Couldn't load match `string':/lib64/iptables/libipt_string.so: cannot open shared object file: No such file or directory

已知iptables v1.3.5是有的

规则，HTTP就是我们要过滤的关键字，--algo，指定使用的算法，有2中，分别是kmp，bm
/sbin/iptables -I INPUT -p tcp -m string --string HTTP --algo kmp --dport 80 -j DROP

保存规则
/sbin/iptables-save

改为这样就好了
iptables -A RH-Firewall-1-INPUT -p tcp -s 192.168.1.0/27 -m state –state NEW -m tcp –dport 161 -j ACCEPT

要在前面加 -p tcp

SNAT：

将172.16.1.78转换成192.168.1.19
iptables -t nat -A POSTROUTING -s 172.16.1.78 -j SNAT --to-source 192.168.1.19

DNAT:

iptables -t nat -A PREROUTING -d 192.168.1.19 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.1.78

这样访问192.168.1.19的端口就会转发到172.16.1.78的80端口上，如果想转发到172.16.1.78的8080端口上，可以用如下命令

iptables -t nat -A PREROUTING -d 192.168.1.19 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.1.78:8080

当然还需要在filter里允许访问80，8080端口，当然，这里允许了对局域网所有主机80，8080端口的访问，为安全，应该进一步细化规则

iptables -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 8080 -j ACCEPT

#
# reset the default policies in the nat table.
#
/usr/local/sbin/iptables -t nat -P PREROUTING ACCEPT
/usr/local/sbin/iptables -t nat -P POSTROUTING ACCEPT
/usr/local/sbin/iptables -t nat -P OUTPUT ACCEPT

#
# flush all the rules in the filter and nat tables.
#
/usr/local/sbin/iptables -F
/usr/local/sbin/iptables -t nat -F

#
# erase all chains that's not default in filter and nat table.
#
/usr/local/sbin/iptables -X
/usr/local/sbin/iptables -t nat -X'

转载自：http://www.7880.com/Info/Article-657b9d40.html

在过去几年中，linux作为防火墙平台的应用显著增长。从早期1.2版内核的ipfwadm开始，Linux的防火墙代码也走过了很长一段路程了。在2.4版的Linux内核中，使用了netfilter体系。在最新的2.4版中，Linux大大加强了安全性，例如：更好的加密支持和 netfilter体系的使用。netfilter具有完全的向后兼容性。

本文将对iptables的配置做一个综述并且重点介绍一些iptables的配置工具。本文的讨论将着眼于linux内核的IP防火墙以及其各种界面的配置工具，比如：GUI或者脚本(shell、Perl或者特定的配置语言)。使用这些工具能够简化iptables的配置减少配置的错误。关于 iptables的知识请参考Rusty Russell写的Linux iptables HOWTO。

使用命令行配置iptables的困难

使用iptables的命令行接口来配置iptables防火墙对一个人来说是一个挑战，用户很难指定所有IP报文的行为。用户需要对 TCP/IP 和应用层协议有较深的了解。象其前辈ipchains一样，iptables把IP过滤规则归并到链中，IP报文遍历规则链接受处理，还可以送到另外的链接受处理，或者最后由默认策略(ACCEPT、DROP、REJECT)处理。有些网络应用程序比其它一些程序更容易穿过防火墙，因此需要理解网络连接的建立和断开。

我们看一下POP3协议，这是最简单的协议之一。允许所有向内目标端口是110的报文通过通过无法解决所有的管理问题，因为这样只能使客户端向发出申请，而服务器却无法应答。另外，如果使用网络地址转换(NAT)和其它方式的报文转发，也存在许多问题。因为防火墙的配置将影响到整个企业的安全，所以应该特别小心。下面将大概地讨论iptables的配置，要获得更多细节请参考linux iptables HOWTO

iptables的命令行选项

在进入这时的讨论之前，我们看一下iptables命令行选项的一个总结。

规则链维护选项

1.建立新的规则链(-N)

2.删除一个空的规则链(-X)

3.改变一个内置规则链的策略(-P)

4.列出一条规则链中的规则(-L)

5.擦写一条规则链中的规则(-F)

规则维护

1.在一条规则链中加入一条新的规则(-A)

2.删除一条规则链中某个位置的规则(-D)

iptables的优点

在讨论各种iptables配置工具之前，让我们看一下iptables的优点，尤其是netfilter比ipchains具有的优势。

iptables允许建立状态(stateful)防火墙，就是在内存中保存穿过防火墙的每条连接。这种模式对于有效地配置FTP和DNS以及其它网络服务是必要的。

iptables能够过滤TCP标志任意组合报文，还能够过滤MAC地址。

系统日志比ipchains更容易配置，扩展性也更好。

对于网络地址转换(Network Address Translation)和透明代理的支持，netfilter更为强大和易于使用。

iptable能够阻止某些DOS攻击，例如SYS洪泛攻击。

iptables配置工具

现在，我们看一下linux iptables的一些配置工具。我主要关注每个工具的特征、弹性和易用性。我们将讨论以下的工具：

MonMotha's Firewall 2.3.5 作者：MonMotha

Firewallscript (iptables 4.4c-3 devel) 作者：Patrik Hildingsson

Ferm-0.0.18 作者：Auke Kok

AGT-0.83 作者：Andy Gilligan

Knetfilter-1.2.4 作者：Luigi Genoni

gShield-2.0.2 作者：R. Gregory

MonMotha的Firewall 2.3.5

MonMotha写的Firewall 2.3.5是一个大约30K的shell脚本。目前，主要适用于基于主机的保护，因为一些基于网络的选项正在开发中。这个脚本的界面(例如：给 iptables传递配置选项的方法)有点混乱。不过，它不需要配置文件而且安装容易，直接复制到任何地方都可以。默认情况下，它根本不做什么，实际上根本就不执行，也缺少文档。这个脚本对于拨号用户可能有点用处。

Firewallscript

Firewallscript(IFS 4.4d)也是一个bash脚本，大约有85K。这个脚本可以用于基于主机和网络的防护。首次运行时，它会直接产生一个配置文件。不过，在默认情况下，这个文件不起什么作用，只有测试作用。这个脚本可以配置NAT和地址伪装。这个脚本非常复杂，但是缺少文档，因此最好能够仔细阅读它的代码，使用 iptables -L命令哪个链已经生效，什么被允许/拒绝。这个脚本的IP报文追踪功能还可以为你提供娱乐。此外，它还会自动探测、加载iptables需要的内核模块。这个脚本和上一个脚本还具有取消(undo)功能，能够恢复iptables原来的配置文件。

Ferm

Ferm是一个Perl脚本，使用一种类C语言写成的配置文件。这种语言非常容易阅读和理解。这个脚本有很好的文档和丰富的示例作为参考。

这是一个例子：

-----------------------------------------------------------------------------

# simple workstation example for ferm

chain input {

if ppp0 # put your outside interface here

{

proto tcp goto fw_tcp;

proto udp goto fw_udp;

proto icmp goto fw_icmp;

}

}

chain fw_tcp proto tcp {

dport ssh ACCEPT;

syn DENY log;

dport domain ACCEPT;

dport 0:1023 DENY log;

}

chain fw_udp proto udp {

DENY log;

}

chain fw_icmp proto icmp {

icmptype (

destination-unreachable time-exceeded

) ACCEPT;

DENY log;

}

-----------------------------------------------------------------------------

这个配置文件将使ferm产生iptables如下规则：允许向外的ssh和DNS报文通过;阻塞所有的UDP报文;只允许两种类型的ICMP消息通过：目的不可达和超时，并绝拒绝和日志其它类型的ICMP消息。

AGT

AGT是一个使用C语言编写的程序。从它的代码来看，目前还处于开发阶段。不支持automake，需要手工编辑Makefile文件，文档也不是很丰富，但是其配置文件非常简单。下面就是一个配置文件：

NEW | FROM-INT

NEW | RESET

|| FROM-INT | icmp | ACCEPT |||||

|| FROM-INT | tcp | ACCEPT ||||| pop3

|| FROM-INT | tcp | ACCEPT ||||| imap

|| RESET | tcp | REJECT --reject-with tcp-reset |||||

这样的文件格式，加上缺乏必要的文档，对使用者来说是一个很大的挑战。而且最好多花些时间学学iptables。

knetfilter

knetfilter是一个非常棒的图形化iptables配置工具，它是基于KDE的(有KDE1和KDE2两个版本)。 knetfilter非常易于上手，你可以很容易地使用它来配置基于主机保护的规则和规则列表;保存和恢复测这些规则和规则列表;测试规则和规则列表(在同一个面板上运行 tcpdump网络嗅探器)，这一切只要点几下鼠标就可以了。它也支持NAT和网络地址伪装的配置。但是，对于拨号工作站，knetfilter工作的不太好，因为它需要本地IP，而且只探测eth0网络接口，不进行PPP探测。这个工程的文档也很少，不过因为是基于图形界面，所以即使不用手册也可以很好地使用。

gShield

gShield是一个bash shell脚本，可能是当前最成熟的一个工具。它的文档非常丰富，配置文件也比较合理直观，还能够设置NAT。它不但能够处静态IP地址，还能够处理动态IP地址(例如：PPP)。

gShield还有图形界面，目前仍然处于早期开发阶段，可以从http://members.home.com/vhodges/gshieldconf.html下载。不过，它似乎只兼容gShield的早期版本(1.x)。

下面是一个示例配置文件：

FW_ROOT="/etc/firewall"

IPTABLES=`which iptables`

LOCALIF="eth0"

DNS="24.31.195.65"

LTIME="20/m"

ALLOW_DHCP_LEASES="YES"

...

gShield使用的默认配置非常安全，特别适合不愿意摆弄配置文件的用户，不过软件的编者建议用户最好能够通读整个配置文件。据README 文件讲，gShield实现了"类tcpwrapper风格的服务访问控制功能"，使用这个功能用户可以很容易地阻塞/允许某项服务，而不必考虑报文方向之类的问题，只要关心什么客户连接到服务器就可以了。

结论

虽然本文介绍了一些防火墙配置工具，但是实际上目前还没有理想的配置工具。最好的配置工具还是iptables命令，这里介绍的这些工具，只适用于对于使用iptables命令行感觉困难的用户。

曾经用过 Easy Firewall Generator for IPTables

转载自：http://sec.chinabyte.com/221/8645721.shtml

限制 ping (echo-request) 傳入的速度

限制前, 可正常每 0.2 秒 ping 一次

ping your.linux.ip -i 0.2

限制每秒只接受一個 icmp echo-request 封包

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

--limit 1/s 表示每秒一次; 1/m 則為每分鐘一次

--limit-burst 表示允許觸發 limit 限制的最大次數 (預設 5)

再以每 0.2 秒 ping 一次, 得到的回應是每秒一次

ping your.linux.ip -i 0.2

限制 ssh 連入頻率

建立自訂 Chain, 限制 tcp 連線每分鐘一次, 超過者觸發 Log 記錄 (記錄在 /var/log/messages)

iptables -N ratelimit
iptables -A ratelimit -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A ratelimit -p tcp --syn -m limit --limit 1/m --limit-burst 1 -j ACCEPT
iptables -A ratelimit -p tcp -j LOG --log-level "NOTICE" --log-prefix "[RATELIMIT]"
iptables -A ratelimit -p tcp -j DROP

引用自訂 Chain, 限制 ssh (tcp port 22) 連入頻率

iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/16 -j ACCEPT (特定 IP 來源不受限制)
iptables -A INPUT -p tcp --dport 22 -j ratelimit

參考資料: Mike's Blog - How to limit attack attempts in Linux

sshd_config 設定備忘:

* LoginGraceTime 30 密碼輸入時限為 30 秒
* MaxAuthTries 2 最多只能輸入 3 次密碼

同理可證

iptables -N pinglimit
iptables -A pinglimit -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A pinglimit -j DROP

iptables -A INPUT -p icmp --icmp-type echo-request -j pinglimit

亦可達到每秒只接受一個 echo-request 封包

補充: 清除自訂 Chain

iptables -L -n --line-number
iptables -D INPUT n
iptables -F ratelimit
iptables -X ratelimit

防治 SYN-Flood 碎片攻擊

iptables -N syn-flood
iptables -A syn-flood -m limit --limit 100/s --limit-burst 150 -j RETURN
iptables -A syn-flood -j DROP

iptables -I INPUT -j syn-flood

模擬攻擊

wget http://www.xfocus.net/tools/200102/naptha-1.1.tgz
wget ftp://rpmfind.net/linux/freshrpms/redhat/7.0/libnet/libnet-1.0.1b-1.src.rpm
tar -zxf naptha-1.1.tgz
rpmbuild --recompile libnet-1.0.1b-1.src.rpm
cp -r /var/tmp/libnet-buildroot/usr/* /usr/local/
cd naptha-1.1
make

./synsend your.linux.host.ip 80 local.host.eth0.ip 0.1

若成功抵擋, 不久後會出現 Can't send packet!: Operation not permitted 的訊息

相關網頁:

* Linux 2.4 Packet Filtering HOWTO (big5)

Posted by Jamyy at 2006年03月17日 09:08
Trackback Pings

TrackBack URL for this entry:
http://cha.homeip.net/cgi-bin/mt/mt-tb.cgi/179

转载自：http://cha.homeip.net/blog/archives/2006/03/iptables_limit.html

1、建立拨号连接
按照以下步骤操作：
系统 ---> 管理 ----> 网络 ---> 新建 ---> 添加新设备类型--->选择xDSL 连接，输入用户名和密码，然后点击激活，文件 ---> 保存
此时，系统应该拨号成功并可以上网

2、 修改eth1的IP地址为192.168.2.1，网关为192.168.2.1

3、开启系统的转发功能
# echo 1 > /proc/sys/net/ipv4/ip_forward

以上修改为临时性的，为使系统重启后，转发功能依然生效，需作如下修改

# vi /etc/sysctl.conf
将net.ipv4.ip_forward = 0
修改为 net.ipv4.ip_forward = 1

4、修改防火墙设置
在filter表里接受来自192.168.2.0/24的转发
# iptables -I FORWARD -p ip -s 192.168.2.0/24 -j ACCEPT
伪装192.168.2.0/24网络的IP为拨号链接获得的公网IP
# iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.2.0/24 -j MASQUERADE
保存防火墙的规则
# service iptables save
查看filter表的规则
# iptables -L
查看nat表的规则
# iptables -t nat -L

5、修改局域网计算机IP为192.168.2.123或其他192.168.2.0网段的IP，网关修改为192.168.2.1即可以上网。

6、已知问题
当只有eth0为激活状态时，系统可以正常上网，而当激活了eth1时，系统无法上网，用route命令查看系统路由表，发现默认网关由原来的ADSL获得
的IP转变为eth1的IP地址192.168.2.1
解决办法
查看路由表
# route
删除网关
# route del default gw 192.168.2.1
修改网关为
# route add -net 0.0.0.0 dev ppp0

参考文章：http://www.fengnet.com/showart.asp?art_id=636&cat_id=9