使用Centos下的iptables實現實驗室按教室、按時間進行上網控制(二)
input文件;
#loopback
iptables -A INPUT -i lo -j ACCEPT#DOS防護
iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT#syn flood防護
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURNiptables -A syn-flood -j REJECT#established允許
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j DROP#ssh允許
iptables -A INPUT -s 10.1.36.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
2.forward鏈的通用策略。
forward-main文件;
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
3.forward鏈中添加24小時允許上網IP(只列出單個IP和範圍IP)
always-accept文件;
#規定IP範圍
iptables -A FORWARD -m iprange --src-range 10.2.11.131-10.2.11.253 -j ACCEPT
#C類IP段
iptables -A FORWARD -s 10.2.13.0/24 -j ACCEPT
#單個IP
iptables -A FORWARD -s 10.1.26.80 -j ACCEPT
使用Centos下的iptables實現實驗室按教室、按時間進行上網控制(二)