netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

配置防火墙防止syn，ddos攻击

[root@m17~]#vim/etc/sysconfig/iptables在iptables中加入下面几行#antisyn，ddos-AFORWARD-ptcp--syn-mlimit--limit1/s--limit-burst5-jACCEPT-AFORWARD-ptcp--tcp-flagsSYN,ACK,FIN,RSTRST-mlimit--limit1/s-jACCEPT-AFORWARD-picmp--icmp-typeecho-request-mlimit--limit1/s-jACCEPT

说明：第一行：每秒中最多允许5个新连接。第二行：防止各种端口扫描。第三行：Ping洪水攻击（Ping of Death），可以根据需要调整或关闭

重启防火墙

[root@m17~]#/etc/init.d/iptablesrestart

屏蔽一个IP

#iptables-IINPUT-s192.168.0.1-jDROP

怎么防止别人ping我？？

#iptables-AINPUT-picmp-jDROP

防止同步包洪水（Sync Flood）

#iptables-AFORWARD-ptcp--syn-mlimit--limit1/s-jACCEPT

防止各种端口扫描

#iptables-AFORWARD-ptcp--tcp-flagsSYN,ACK,FIN,RSTRST-mlimit--limit1/s-jACCEPT

Ping洪水攻击（Ping of Death）

#iptables-AFORWARD-picmp--icmp-typeecho-request-mlimit--limit1/s-jACCEPTNMAPFIN/URG/PSH#iptables-AINPUT-ieth0-ptcp--tcp-flagsALLFIN,URG,PSH-jDROPXmasTree#iptables-AINPUT-ieth0-ptcp--tcp-flagsALLALL-jDROPAnotherXmasTree#iptables-AINPUT-ieth0-ptcp--tcp-flagsALLSYN,RST,ACK,FIN,URG-jDROPNullScan(possibly)iptables-AINPUT-ieth0-ptcp--tcp-flagsALLNONE-jDROPSYN/RST#iptables-AINPUT-ieth0-ptcp--tcp-flagsSYN,RSTSYN,RST-jDROPSYN/FIN--Scan(possibly)#iptables-AINPUT-ieth0-ptcp--tcp-flagsSYN,FINSYN,FIN-jDROP

限制对内部封包的发送速度

#iptables-AINPUT-f-mlimit--limit100/s--limit-burst100-jACCEPT

限制建立联机的转

#iptables-AFORWARD-f-mlimit--limit100/s--limit-burst100-jACCEPT