客户的要求,不想让外国的ip来访问服务器,本来要让机房在上端路由解决,但是那些人不鸟你!!!~~~~
这样的话,只能自己用iptables解决了~~~~~~~~~
关于 ip库 大家可以去 http://www.ipdeny.com/ipblocks/ 下载, 这里有各个国家的~~~
#下载ip库
#wget http://rfyiamcool.googlecode.com/files/allip.txt
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
#把分号去掉
sed -i 's/;$//' allip.txt
#把ip端调出来
for i in `cat cn.zone`
do
echo "iptables -a input -s $i -j accept" >>iptables.sh
done
cat iptables.sh
把这个脚本做下优化,在iptables.sh前面加上下面的命令!
#!/bin/bash
ziji="222.173.13.5"
iptables -f
iptables -x
iptables -z
iptables -t nat -f
iptables -t mangle -f
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ipt_limit
modprobe ipt_recent ip_list_tot=16384
modprobe ip_conntrack hashsize=16384
echo "1024 63000" > /proc/sys/net/ipv4/ip_local_port_range
echo "1" > /proc/sys/net/ipv4/tcp_tw_recycle
echo "1" > /proc/sys/net/ipv4/tcp_tw_reuse
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" >/proc/sys/net/ipv4/conf/all/log_martians
echo "1" >/proc/sys/net/ipv4/tcp_syncookies
echo "2" >/proc/sys/net/ipv4/tcp_synack_retries
echo "5000" >/proc/sys/net/ipv4/tcp_max_syn_backlog
echo "3" >/proc/sys/net/ipv4/tcp_syn_retries
echo "1" > /proc/sys/net/ipv4/tcp_tw_reuse
echo "1" > /proc/sys/net/ipv4/tcp_tw_recycle
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "1800" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -p input drop
iptables -p forward accept
iptables -p output accept
/sbin/iptables -t nat -p prerouting accept
/sbin/iptables -t nat -p postrouting accept
iptables -a input -s $ziji -j accept
iptables -a input -i lo -j accept
iptables -a input -m state --state established,related -j accept
iptables -a input -p tcp ! --syn -m state --state new -j drop
下面是效果图~~~~~~~~~~~~~~~~(刚才把主机关机了,大家国内也是ping不了的 o(∩_∩)o~)
如对本文有疑问,
点击进行留言回复!!
我要评论
网友评论