给大家带来主动鉴别口角名单的iptables宁静剧本

如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的好朋友们！①此剧本能主动过滤失落企业中经由过程NAT进来的白名单IP，良多企业都是经由过程NAT软路由上彀，我们能够将一些与我们有来往的公司及本公司的宁静IP增加进白名单，以防误剔;
②阀值DEFIIN这里界说的是100，实在这个值应当依据详细临盆情况而定，50-100之间较好；
③此剧本道理实在很复杂，判别刹时毗连数是不是年夜于100，假如是白名单里的IP则跳过；假如不是，则用iptables-I来主动剔除，这里不克不及用-A，A是在iptables的划定规矩的最初增加，常常达不到立即剔除的效果；
④此剧本最初更新工夫为2010年5月24日，这里衷心感激3158.com的手艺总监唐先生，感谢您在宁静相干的引导；
⑤25是mail端口的，别的可顺次类推，好比22,再好比80等，详细看你的办事器的使用；今朝发明子链接过量的Web站点效果欠好，我们这个时分能够用iptables的recent模块来办理，别的非Web使用效果仍是不错的；
⑥若有疑问，请接洽弹琴煮酒yuhongchun027@gmail.com。
剧本内容以下所示：

1. #/bin/bashnetstat-an|grep:80|grep-v127.0.0.1|awk{print$5}|sort|awk-F:{print$1,$4}|uniq-c|awk$1>50{print$1,$2}>/root/black.txt#!/bin/bashforiin`awk{print$2}/root/black.txt`doCOUNT=`grep$i/root/black.txt|awk{print$1}`DEFINE="100"ZERO="0"if[$COUNT-gt$DEFINE];thengrep$i/root/white.txt>/dev/nullif[$?-gt$ZERO];thenecho"$COUNT$i"iptables-IINPUT-ptcp-s$i-jDROPfifidone

复制代码

2009年3月30日下战书14:25分，用以下下令监控时:
netstat-an|grep:25|grep-v127.0.0.1|awk{print$5}|sort|awk-F:{print$1}|uniq-c|awk$1>100
1122219.136.163.207
1761.144.157.236
用http://www.ip138.com一查，发明
ip138.comIP查询(搜刮IP地点的地舆地位)
您查询的IP:219.136.163.207
本站主数据：广东省广州市电信(荔湾区)
参考数据一：广东省广州市电信(荔湾区)
参考数据二：广东省广州市荔湾区电信ADSL
挪用deny_100.sh后将此IPDrop失落，再运转./root/count.sh后无显现，显现乐成，可用iptables-nv-L考证，以是将此宁静剧本写进crontab里，以下所示：
*/1****root/bin/sh/root/deny_100.sh

本文出自“弹琴煮酒”博客，请务必保存此出处http://andrewyu.blog.51cto.com/1604432/622704
如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的小伙伴们！

在学习linux的工程中，linux学习方法有很多种，这里是小编的学习心得，给大家拿出来分享一下。

仓酷云

为了更好的学习这门课程，我不仅课上认真听讲，课下也努力学习，为此还在自己的电脑上安装了Ubuntu系统。

发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担回复每个帖子的义务。它不是技术支持。

得到到草率的回答或者根本得不到任何Linux答案。越表现出在寻求帮助前为解决问题付出的努力，你越能得到实质性的帮助。

未来的学习之路将是以指数增加的方式增长的。从网管员来说，命令行实际上就是规则，它总是有效的，同时也是灵活的。

我们自学，就这个循环的过程中，我们学习了基本操作，用vi，shell，模拟内存的分配过程等一些OS管理。

下面笔者在论坛看到的一个好问题： “安装红旗4.0后，系统紫光输入法自带的双拼方案和我的习惯不一样，如何自定义双拼方案解决?谢谢？”这个问题很简练。