1 iptables 2  3 <1> 4 iptables -D INPUT 1   删除第一条规则 5 iptables -D INPUT -s 192.168.11.1 -j DROP  以删除匹配到的内容规则 6 iptbales -I INPUT -s ip -j DROP     7 iptables -A INPUT -s ip -j DROP 8 iptables -I INPUT 3 -s ip -j DROP   插入到第3条规则中 9 iptables -I INPUT -p tcp -s ip --sport 80 -j ACCEPT10 iptables -I INPUT -p tcp -d ip --dport 80 -j ACCEPT11 iptables -I INPUT -p tcp -m multiport --ports 80,22 -j ACCEPT12 iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/sec --limit-burst 8 -j ACCEPT  匹配指定的tcp标13 14 记，每秒3个并发匹配，最大缓冲8个15 iptables -I INPUT -p icmp --icmp-type 8 -m limit --limit 3/s --limit-burst 10 -j ACCEPT  每秒并发3次，最大缓冲10次16 17 18 19 iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited   不符合以上规则的全部拒绝20 </1>21 22 23 24 <2>防止SYN攻击 轻量级预防25 26 iptables -N syn-flood    添加一个新链27 28 iptables -A INPUT -p tcp --syn -j syn-flood   所有INPUT链转到syn-flood链29 30 iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN   sys-flood所有tcp返回INPUT链31 32 iptables -A syn-flood -j REJECT  --reject-with icmp-port-unreachable  对以上不符合规则的拒绝访问33 </2>34 35 36 iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask37 38 32 -j REJECT --reject-with icmp-port-unreachable    限制单个ip地址的并发连接数量，超过则拒绝访问，并返回错误信息