COMMIT

以上配置允許了ftp, ssh, http, smtp, pop3, mysql, 2001(Prim@Hosting ACA端口)，domain端口。

* 啟動(dòng)iptables

/etc/init.d/iptables start

* 設(shè)置iptables為自動(dòng)啟動(dòng)

chkconfig --level 2345 iptables on

* 用iptables屏蔽IP

iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT

注意到，和ipchains的區(qū)別是：

-I 后面跟的規(guī)則名稱的參數(shù)和ipchains不同，不是統(tǒng)一的input，而是在/etc/sysconfig/iptables里定義的那個(gè)

多了-m tcp

指定端口的參數(shù)是--dport 80

多了--syn參數(shù)，可以自動(dòng)檢測(cè)sync攻擊

使 用iptables禁止ping：-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT-A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable