- iptables 匹配規則是順次匹配,只要匹配到就【REJECT(拒絕)、ACCEPT(允許)】
- iptables 匹配規則是倒敘插入,先匹配最新的規則
[root@xypt-activeback ~]# iptables -I INPUT -p tcp --dport 443 -s XXX.XXX.XXX.XXX -j ACCEPT
[root@xypt-activeback ~]# iptables -I INPUT -p tcp --dport 443 -s XXX.XXX.XXX.XXX -m connlimit --connlimit-above 100 -j REJECT
上面這兩行命令可以限制XXX.XXX.XXX.XXX的訪問次數,,
【第一行】放行所有 XXX.XXX.XXX.XXX
【第二行】連接超過100 時拒絕連接(限制訪問)
[root@xypt-activeback ~]# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- XXX.XXX.XXX.XXX anywhere tcp dpt:https #conn src/32 > 100 reject-with icmp-port-unreachable
ACCEPT tcp -- XXX.XXX.XXX.XXX anywhere tcp dpt:https
按照這個順序從上倒下匹配【有點switch的感覺】
【部分參數說明】
- 【-s】IP地址可以不要,則默認匹配全部
- 【–dport】設置匹配端口
- 【-j】設置操作,一般是兩個REJECT(拒絕)、ACCEPT(允許)
- 【第一個參數】-I 添加, -D刪除