iptables
常见套路
【iptables filter
表常见套路】
（注：以下的
"[INPUT|FORWARD]"
表示INPUT
或者FORWARD
）#(1)
提高防火墙效率：已有连接直接放过
(强制要求要有，而且必须放在最前面
)iptables -A [INPUT|FORWARD] -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#(2)
防攻击：
NEW状态的新连接并且不带有
syn位的tcp包，均认为是不合法的
tcp请求，直接丢弃
(建议要有
)#此条防攻击策略可有可无，因为安全是相对的，但是建议加上这条策略。
iptables -A [INPUT|FORWARD] -p tcp ! --syn -m state --state NEW -j DROP
#(3)
访问控制：对访问防火墙本机或流经内网的数据只允许访问指定的端口
(强制要求要有
)iptables -A [INPUT|FORWARD] -p tcp -m multiport --dport 22,80,443 -j ACCEPT
...