背景:有一台服务器被公鸡了,虽然暂时危机解除了,但是怕它继续被人利用,所以对这个机器进行了访问别的机器端口的限制,其实就是不让它去探测别的机器,限死它
话不多说了,直接上代码了,下面是 iptables配置, output 对应端口设置,不让探测22 3389 7001 8001 9001 这种,顺便附上,不让它ping别的机器
cat /etc/sysconfig/iptables
#### 不让173机器探测外面的端口和ping别的机器
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 22 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 23 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 25 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 3389 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 7001 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 8001 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 9001 -j DROP
-A OUTPUT -p icmp --icmp-type echo-request -j DROP
