linux IPtables 实际使用

用户的网站被SYN_RECV 攻击了，来源不确定，IP应该是伪造的。执行netstat 命令可以检查

SYN_RECV 连接不是很多，去年做过的一个网站曾经有几百的SYN_RECV 连接，找了很久没有找到原因，最后硬件防火墙才得到了解决，今天又遇到了。

网站被攻击以后，速度变慢，数据库由于压力不能正常使用，这次是sybase的数据库，去年的是ORACLE的数据库，都不行。从攻击的端口号可以看出，大多是12001端口，从网上资料看是"IBM Enterprise Extender SNA COS Network Priority "使用的端口，也可能是正常的服务。

但不管怎样，该端口造成了网站不能正常访问，解决的方法就是关闭该端口的连接，用到了linux自带的 IPTABLES服务，

我这里用到配置命令如下：

=========================================================
[root@localhost sbin]# -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
DROP       tcp -- 0.0.0.0/0            0.0.0.0/0           tcp flags:!0x16/0x02 state NEW

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
DROP       tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:12001
DROP       tcp -- 0.0.0.0/0            0.0.0.0/0           tcp spt:12001
========================================================
拒绝12001端口的所有数据，来源以及目的端口
iptables -A OUTPUT -p tcp --dport 12001   -j DROP
iptables -A OUTPUT -p tcp --sport 12001   -j DROP
iptables -A IUTPUT -p tcp --sport 12001   -j DROP
iptables -A IUTPUT -p tcp --dport 12001   -j DROP
========================================================
禁止以下IP所有的端口的访问：
iptables -t nat -A PREROUTING -i eth1 -d 218.162.91.114 -j DROP
iptables -t nat -A PREROUTING -i eth1 -d 218.174.210.47 -j DROP
iptables -t nat -A PREROUTING -i eth1 -d 174.21.44.28 -j DROP
iptables -t nat -A PREROUTING -i eth1 -d 114.36.3.193 -j DROP
iptables -t nat -A PREROUTING -i eth1 -d 61.224.217.4 -j DROP
iptables -t nat -A PREROUTING -i eth1 -d 219.81.228.217 -j DROP
========================================================

其他的命令没有用到，网站已经正常。