如何使用iptables(四)

常用ICMP(Ping)匹配规则

下面是举例说明

iptables -A OUTPUT -p icmp -icmp-type echo-request -j ACCETPT

iptables -A INPUT -p icmp -icmp-type echo-reply -j ACCEPT

iptables 被配置为允许防火墙发送ICMP echo-requests(pings) 和接受期望的ICMP echo-replies包。

考虑另外一个例子

iptables -A INPUT -p icmp --icmp-type ehco-request -m limit --limit 1/s -i eth0 -j ACCEPT

iptables中的limit功能可以指定一秒钟匹配的平均数据包个数。你可以用 /second, /minute, /hour 或者/day指定时间间隔。或者使用缩写，所以3/second等于3/s。

在这个例子中，ICMP echo请求被限制为1秒最多发一个。当参数比较合适时，这个功能可以让你过滤掉不正常的DOS攻击和网络蠕虫。

iptables -A INPUT -p tcp --syn -m limit --limit 5/s -i eth0 -j ACCEPT

你可以扩展这 个iptables的limit功能，来降低遭受拒绝服务攻击的可能。这里是一个靠限制1秒钟最多5个TCP的syn连接来防范SYN洪水攻击。