Loading... <p>原地址:<span class="external-link"><a class="no-external-link" href="http://linux.chinaunix.net/bbs/archiver/?tid-1150404.html" target="_blank">http://linux.chinaunix.net/bbs/archiver/?tid-1150404.html<i data-feather='external-link'></i></a></span><br />采用debian 4.0r8-adm64-netinst<br />采用以下源代码:<br />linux-2.6.21.7.tar.bz2<br />iptables-1.3.8.tar.bz2<br />patch-o-matic-ng-20091205<br />ipp2p.0.99.15.tar.gz<br />hashspeed-0.1.tar.gz<br />l7-protocols-2008-12-18.tar.gz<br />netfilter-layer7-v2.20.tar.gz<br />________________________________________<br />安装后debian基本操做系统后:配置网络<br />————————————————————————————<br />1:连上外网<br />设ip 例如: 二张网卡。eth0 为内网(121.9.XX) eth0 为外网(192.168.0.1)</p><p># The primary network interface<br />auto eth0<br />allow-hotplug eth0<br />iface eth0 inet static<br />address 192.168.0.1<br />netmask 255.255.254.0<br />network 192.168.0.0<br />auto eth1<br />allow-hotplug eth1<br />iface eth1 inet static<br />address 121.9.XX<br />netmask 255.255.XX.XX<br />network 121.9.XX.XX<br />oadcast 121.9.XX.XX<br />gateway 121.9.XX.XX<br />----------------------------<br /><br />2:设DNS<br />/etc/resolv.conf</p><p>nameserver 202.96.128.86<br />nameserver 202.96.128.166</p><p>(如果只是做个简单的路由无防火无限止的话,此时已经可以了只要二条命令)<br />#:echo 1 > /proc/sys/net/ipv4/ip_forward (开启转发)</p><p>#:iptables -t nat -A POSTROUTING -s $eth0 -o $eth1 -j MASQUERADE (eth0 转向 eth1)<br />——————————————————————————<br />3:设置软件包源<br />/etc/apt/sources.list</p><p>#cn99的国内最快的<br />deb http://debian.cn99.com/debian stable main<br />deb-src http://debian.cn99.com/debian stable main</p><p>stables 意思就是稳定版的</p><p>设好后apt-get update 更新成功!可以安装软件了</p><p>————————————————————————————</p><p>4:安装后面工作需要的工具包:<br />#:apt-get install kernel-package ncurses-dev fakeroot wget bzip2 make patch<br />#:apt-get install ncurses-bin (不安装这个就不能用iptables的补丁)</p><p>#:apt-get install openssh-server (安装ssh远程)</p><p>记得修改ssh的配置文件:比如换个端口(必要的)不允许root登陆</p><p>5:解压 放至/usr/src/ 目录下方便管理</p><p>linux-2.6.21.7.tar.bz2<br />iptables-1.3.8.tar.bz2<br />patch-o-matic-ng-20091205<br />ipp2p.0.99.15.tar.gz<br />hashspeed-0.1.tar.gz<br />l7-protocols-2008-12-18.tar.gz<br />netfilter-layer7-v2.20.tar.gz</p><p>解压:bz2 的tar jxvf<br />gz 的tar zxvf<br />这后新建二个连接方便管理<br />#:ln -s linux-XXXXX linux<br />#:ln -s iptables-XXXX iptables<br />---------------------------<br />6:进入解压出来的内核源码中,复制当中内核的配置文件到新内核源码上。<br />#:cp /boot/conXXXXXXXXXX ./.config (命名为.config)</p><p>7:先给内核打iptables的补丁。<br />#:cd /usr/src/patch-o-matic-ng-20091205/<br />/usr/src/patch-o-matic-ng-20091205#export KERNEL_DIR=/usr/src/linux<br />/usr/src/patch-o-matic-ng-20091205#export IPTABLES_DIR=/usr/src/iptables<br />/usr/src/patch-o-matic-ng-20091205#./runme --download<br />之后就会显示:<br />——————————————————————————<br />Successfully downloaded external patch geoip<br />Successfully downloaded external patch condition<br />Successfully downloaded external patch IPMARK<br />Successfully downloaded external patch ROUTE<br />Successfully downloaded external patch connlimit<br />Successfully downloaded external patch ipp2p<br />Successfully downloaded external patch time<br />Successfully downloaded external patch ipv4options<br />Successfully downloaded external patch TARPIT<br />Successfully downloaded external patch ACCOUNT<br />Successfully downloaded external patch pknock<br />Hey! KERNEL_DIR is not set.<br />Where is your kernel source directory? [/usr/src/linux]<br />Hey! IPTABLES_DIR is not set.<br />Where is your iptables source code directory? [/usr/src/iptables]<br />Loading patchlet definitions........... done</p><p>Excellent! Source trees are ready for compilation.<br />————————————————————————————<br />然后:<br />/usr/src/patch-o-matic-ng-20091205#./runme connlimit (按示就按Y确定)</p><p>8:再给内核打L7补丁。<br />#:cd /usr/src/linux<br />/usr/src/linux#patch -p1 <../netfilter-layer7-v2.21/for_older_kernels/kernel-2.6.20-2.6.21-layer7-2.16.1.patch</p><p>9:给iptables 打补丁</p><p>#:cd /usr/src/iptables<br />/usr/src/iptables#patch -p1<br />Networking options ---></p><p>Network packet filtering framework (Netfilter) ---><br />Core Netfilter Configuration ---><br />IP: Netfilter Configuration ---><br />可以把Core Netfilter Configuration IP: Netfilter Configuratio 下的所有都加入<br />慢慢看咯,最后退出时保存,<br />#:make-kpkg clean<br />#:make-kpkg --initrd kernel_image modules_image (这是生成deb包的内核)</p><p>不出意外的话在内核源文件的上级目录下会出现linux-image-XXXXXXXX.deb<br />直接dpkg -i 安装<br />/usr/src/linux#dpkg -i linux-image-2.6.21.7_2.6.21.7-10.00.Custom_amd64.deb</p><p>因为是2.6的内核,所以不用修改引导参数,直接重启进入新内核<br />-----------------------------<br />11:安装iptables<br />#:cd /usr/src/iptables<br />/usr/src/iptables#make KERNEL_DIR=/usr/src/linux<br />/usr/src/iptables#make install KERNEL_DIR=/usr/src/linux</p><p>重启。<br />#:iptalbes -V 查看是不是更新了<br />---------------------------------<br />12:安装L7<br />#:cd /usr/src/l7-protocols-2008-12-18<br />/usr/src/l7-protocols-2008-12-18#make install</p><p>mkdir -p /etc/l7-protocols<br />cp -R * /etc/l7-protocols</p><p>现在就已经可以用L7过滤了,<br />#:iptables -m layer7 --help</p><p>13:编译ipp2p模块并安装<br />#:cd /usr/src/ipp2p:0.99.15<br />修改<br />/usr/src/ipp2p:0.99.15#vim Makefile<br />修改:KERNEL_SRC = /usr/src/linux IPTABLES_SRC = /usr/src/iptables<br />/usr/src/ipp2p:0.99.15#make<br />后会显示如下才是通过 因为不是原作者所以编译模块是因内核和各软件包源版本而定,能通过<br />就能通过,不能通过,除非改源代码。- -<br />make -C /usr/src/linux-2.6.21.7 M=/usr/src/ipp2p-0.99.15 modules<br />make[1]: Entering directory `/usr/src/linux-2.6.21.7'<br />CC [M] /usr/src/ipp2p-0.99.15/ipt_ipp2p.o<br />Building modules, stage 2.<br />MODPOST 1 modules<br />CC /usr/src/ipp2p-0.99.15/ipt_ipp2p.mod.o<br />LD [M] /usr/src/ipp2p-0.99.15/ipt_ipp2p.ko<br />make[1]: Leaving directory `/usr/src/linux-2.6.21.7'<br />gcc -O3 -Wall -DIPTABLES_VERSION=\"1.3.8\" -I/usr/src/iptables-1.3.8/include -fPIC -c libipt_ipp2p.c<br />gcc -shared -o libipt_ipp2p.so libipt_ipp2p.o</p><p>已经编译成功了现在只要安装就行了,手动吧<br />/usr/src/ipp2p:0.99.15#cp ipt_ipp2p.ko /lib/modules/2.6.21.7/kernel/net/ipv4/netfilter/<br />/usr/src/ipp2p:0.99.15#cp libipt_ipp2p.so /usr/local/lib/iptables/</p><p>然后:depmod -a 重新加载内核模块就可以用了。</p><p>测试:iptables -I FORWARD -m ipp2p --xunlei -j DROP (会显示ipp2p的版本号)<br />#:iptables -L -n 查看结果<br />target prot opt source destination<br />DROP all -- 0.0.0.0/0 0.0.0.0/0 ipp2p v0.99.15 --xunlei</p><p>如何运行ipp2p内核模块 查看iptables -m ipp2p --help<br />-------------------------------------------------------------<br />14 :编译hashspeed.0.1 些模块功能是进行包或字节的匹配,也就是限速- -</p><p>#:cd /usr/src/hashspeed.0.1<br />/usr/src/hashspeed.0.1#vim Makefile<br />修改:KERNEL_SRC = /usr/src/linux和IPTABLES_SRC = /usr/src/iptables<br />/usr/src/hashspeed.0.1#make<br />make -C /usr/src/linux M=/usr/src/hashspeed-0.1 modules<br />make[1]: Entering directory `/usr/src/linux-2.6.21.7'<br />CC [M] /usr/src/hashspeed-0.1/ipt_hashspeed.o<br />Building modules, stage 2.<br />MODPOST 1 modules<br />CC /usr/src/hashspeed-0.1/ipt_hashspeed.mod.o<br />LD [M] /usr/src/hashspeed-0.1/ipt_hashspeed.ko<br />make[1]: Leaving directory `/usr/src/linux-2.6.21.7'<br />cc -O2 -Wall -DIPTABLES_VERSION=\"1.3.8\" -I/usr/src/iptables/include -I/usr/src/linux/include -fPIC -c libipt_hashspeed.c<br />cc -shared -o libipt_hashspeed.so libipt_hashspeed.o</p><p>和IPP2P一样,手动cp文件</p><p>/usr/src/hashspeed.0.1#:cp ipt_hashspeed.ko /lib/modules/2.6.21.7/kernel/net/ipv4/netfilter/<br />/usr/src/hashspeed.0.1#:cp libipt_hashspeed.so /usr/local/lib/iptables/</p><p>然后:depmod -a 重新加载内核模块就可以用了。</p><p>/usr/src/hashspeed.0.1#iptables -m hashspeed --help 查看帮助</p><p>测试:<br />#:iptables -N QOS<br />#:iptables -A FORWARD -i eth0 -p ALL -m hashspeed \! --hashspeed-bytes 56K --hashspeed-mode srcip --hashspeed-name slimit -j QOS<br />#:iptables -A FORWARD -o eth0 -p ALL -m hashspeed \! --hashspeed-bytes 128K --hashspeed-mode dstip --hashspeed-name dlimit -j QOS<br />#:iptables -L -n 查看结果</p><p>QOS all -- 0.0.0.0/0 0.0.0.0/0 ! limit: bytes avg 64K mode srcip<br />QOS all -- 0.0.0.0/0 0.0.0.0/0 ! limit: bytes avg 128K mode dstip</p><p>如何运行hashspeed内核模块 查看iptables -m hashspeed --help<br />---------------------------------------------------------<br />15:安装FTP<br />#:apt-get install vsftpd<br />配置:#:/etc/vsftpd.conf<br />anonymous_enable=NO 禁止匿名登陆<br />local_enable=YES 允许本地用户<br />write_enable=YES 允许回写</p><p>首先创建用户组ftp和arp用户目录<br />#:groupadd ftp (组名是随便起的,只是便于管理以后可以随时cat /etc/group |grep ftp)<br />#:mkdir /down/arp/ /down这目录是分区的时候设置的 也可以弄成/home/arp/ 总之就是新建arp目录<br />然后创建用户<br />#:useradd -g ftp -d /down/arp/ arp(arp是用户名)<br />注:G:用户所在的组 d:指定创建用户的自己目录</p><p>接着改变文件夹属于的组和用户<br />chown 用户.组 路径<br />#:chown arp.ftp /down/arp<br />#:chmod 711 /down/arp 给予权限</p><p>/etc/init.d/vsftpd restart<br />测试</p><p>然后在FTP目录下新建个文件<br />#:touch arp<br />建立FTP就是为了方便管理:<br />如将内网所有客户机的IP和MAC写入些表中,服务器可以设置每60秒自动绑定一次此表中的IP对应的MAC。<br />写法:<br />IP MAC<br />127.0.0.1 00:11:22:33:44:55</p><p>16:设置每60秒自动绑定一次ARP<br />#:touch arp.sh (新建一个脚本内容为下)<br />arp -f /down/arp/arp<br />#:chmod 755 /down/arp/arp 执行权限<br />修改:<br />#:vim /etc/crontab</p><p>分 时 日 月 星期 执行脚本 那么就如下添加<br />** * * * * root /root/arp.sh<br />________________________________________________________________</p><p>_________________________________________________________</p><p>以下是iptables.sh脚本 防火策略。</p><p>#!/bin/bash<br />##########分配设定##########<br />LAN="eth0"<br />WAN="eth1"<br />LANIP0="192.168.0.0/23"<br />WANIP="121.9.XX.XX"<br />WGIP="192.168.0.1"<br />WGMAC="00:01:02:03:04:05"</p><p>######清除所有策略#######</p><p>iptables -F<br />iptables -X<br />iptables -Z<br />iptables -F -t nat<br />iptables -X -t nat<br />iptables -Z -t nat<br />iptables -F -t mangle<br />iptables -X -t mangle<br />iptables -Z -t mangle</p><p>#######重置策略######</p><p>iptables -P INPUT ACCEPT<br />iptables -P OUTPUT ACCEPT<br />iptables -P FORWARD ACCEPT</p><p>###### ARP绑定 #######</p><p>arp -f /dow/arp/arp<br />arp -s $WGIP $WGMAC -i $LAN</p><p>###抵御小量SYN###</p><p>sysctl -w net.ipv4.tcp_max_syn_backlog=2048<br />sysctl -w net.ipv4.tcp_synack_retries=3<br />sysctl -w net.ipv4.tcp_syn_retries=3</p><p>echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout<br />echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established<br />echo "105500" > /proc/sys/net/ipv4/netfilter/ip_conntrack_max</p><p>#####加载所需模块#####</p><p>#modprobe</p><p>#####开启路由转发(IP伪装)#####</p><p>echo 1 > /proc/sys/net/ipv4/ip_forward</p><p>iptables -t nat -A POSTROUTING -s $LANIP -o $WAN -j MASQUERADE<br />#:用下行参数的话,可以在254的掩码中,二个IP段。0和1<br />#iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE</p><p>###########端口映射###########</p><p>####vnc####<br />#iptables -t nat -A PREROUTING -d $WANIP -p tcp --dport 5900 -j DNAT --to-destination 192.168.0.2:5900</p><p>####临控####<br />iptables -t nat -A PREROUTING -d $WANIP -p tcp --dport 8001 -j DNAT --to-destination 192.168.0.5:8001<br />iptables -t nat -A PREROUTING -d $WANIP -p tcp --dport 39777 -j DNAT --to-destination 192.168.0.5:39777<br />iptables -t nat -A PREROUTING -d $WANIP -p tcp --dport 37777 -j DNAT --to-destination 192.168.0.5:37777<br />iptables -t nat -A PREROUTING -d $WANIP -p tcp --dport 37778 -j DNAT --to-destination 192.168.0.5:37778<br />iptables -t nat -A PREROUTING -d $WANIP -p tcp --dport 47777 -j DNAT --to-destination 192.168.0.5:47777</p><p>#######端口映射结束#########</p><p>###################安全策略开始####################</p><p>###限止PING数量 禁止外网PING###</p><p>iptables -N PING<br />iptables -A PING -p icmp --icmp-type echo-request -m limit --limit 2/second -j RETURN<br />iptables -A PING -p icmp -j DROP<br />iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW -j PING<br />iptables -A INPUT -p icmp --icmp-type echo-request -i $WAN -j DROP</p><p>#### 限制tcp连接数 ###</p><p>iptables -N CONNLIMIT<br />iptables -A FORWARD -p tcp ! --dport 80 --syn -i $LAN -m connlimit --connlimit-above 15 -j CONNLIMIT<br />iptables -A CONNLIMIT -j REJECT<br />#iptables -I CONNLIMIT -s 192.168.1.203 -j RETURN</p><p>iptables -N P2P<br />iptables -A FORWARD -p ALL -m ipp2p --ipp2p -j P2P<br />iptables -A P2P -j DROP<br />iptables -I P2P -p tcp -i $LAN -m connlimit --connlimit-above 2 -j RETURN</p><p>####以下端口INPUT 丢弃####</p><p>iptables -I INPUT -p tcp --dport 135 -j DROP<br />iptables -A INPUT -p udp --dport 135 -j DROP<br />iptables -I INPUT -p tcp --dport 136 -j DROP<br />iptables -A INPUT -p udp --dport 136 -j DROP<br />iptables -I INPUT -p tcp --dport 137 -j DROP<br />iptables -A INPUT -p udp --dport 137 -j DROP<br />iptables -I INPUT -p tcp --dport 138 -j DROP<br />iptables -A INPUT -p udp --dport 138 -j DROP<br />iptables -I INPUT -p tcp --dport 139 -j DROP<br />iptables -A INPUT -p udp --dport 139 -j DROP<br />iptables -I INPUT -p tcp --dport 445 -j DROP<br />iptables -A INPUT -p udp --dport 445 -j DROP<br />iptables -I INPUT -p tcp --dport 4444 -j DROP<br />iptables -A INPUT -p udp --dport 4444 -j DROP<br />iptables -I INPUT -p tcp --dport 5554 -j DROP<br />iptables -I INPUT -p tcp --dport 1434 -j DROP<br />iptables -A INPUT -p udp --dport 1434 -j DROP<br />iptables -I INPUT -p tcp --dport 2500 -j DROP<br />iptables -I INPUT -p tcp --dport 5900 -j DROP<br />iptables -I INPUT -p tcp --dport 5800 -j DROP<br />iptables -I INPUT -p tcp --dport 6346 -j DROP<br />iptables -I INPUT -p tcp --dport 6667 -j DROP<br />iptables -I INPUT -p tcp --dport 9393 -j DROP<br />iptables -I INPUT -p tcp --dport 593 -j DROP<br />iptables -A INPUT -p udp --dport 593 -j DROP<br />iptables -A INPUT -p udp --dport 69 -j DROP</p><p>####FORWArD链的端口丢弃###</p><p>iptables -I FORWARD -p tcp --dport 135 -j DROP<br />iptables -A FORWARD -p udp --dport 135 -j DROP<br />iptables -I FORWARD -p tcp --dport 136 -j DROP<br />iptables -A FORWARD -p udp --dport 136 -j DROP<br />iptables -I FORWARD -p tcp --dport 137 -j DROP<br />iptables -A FORWARD -p udp --dport 137 -j DROP<br />iptables -I FORWARD -p tcp --dport 138 -j DROP<br />iptables -A FORWARD -p udp --dport 138 -j DROP<br />iptables -I FORWARD -p tcp --dport 139 -j DROP<br />iptables -A FORWARD -p udp --dport 139 -j DROP<br />iptables -I FORWARD -p tcp --dport 445 -j DROP<br />iptables -A FORWARD -p udp --dport 445 -j DROP</p><p>#### 防止非法描路由密码同减轻小量SYN攻击 ###</p><p>iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT</p><p>iptables -N SYNFLOOD<br />iptables -A INPUT -p tcp -m state --state NEW -j SYNFLOOD<br />iptables -A SYNFLOOD -p tcp -j REJECT --reject-with tcp-reset<br />iptables -I SYNFLOOD -p tcp --syn -m limit --limit 1/s --limit-burst 10 -j RETURN<br />iptables -I SYNFLOOD -p tcp --dport 21 -s $LANIP -j RETURN<br />iptables -I SYNFLOOD -p tcp --dport 8989 -j RETURN</p><p>iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP<br />iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP<br />iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP<br />iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP<br />iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP<br />iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP</p><p>####指定IP或段不能访问/网址/端口####</p><p>#iptables -I FORWARD -s $LANIP -d 域名 -j DROP<br />#iptables -I FORWARD -s $LANIP -p tcp --dport 端口 -j DROP<br />#iptables -I FORWARD -s 192.168.0.0/24 -d 域名 -j DROP<br />#iptables -I FORWARD -s 192.168.0.0/24 -p tcp --dport 端口 -j DROP</p><p>#####没用的包丢弃#####</p><p>iptables -I FORWARD -m conntrack --ctstate INVALID -j DROP<br />iptables -t mangle -A PREROUTING -i $LAN ! -s $LANIP -j DROP<br />iptables -t mangle -A PREROUTING -p tcp -i $LAN -d $WANIP -j DROP<br />iptables -t mangle -A PREROUTING -p icmp --icmp-type redirect -j DROP<br />iptables -t mangle -A FORWARD -s $LANIP -d $LANIP -j DROP</p><p>################安全策略全部结束###############<br />######## 禁止唔听话的收银八婆玩收银机 #######</p><p>iptables -N SHOUYING -t nat<br />iptables -A PREROUTING -t nat -s 192.168.0.248 -j SHOUYING<br />iptables -A SHOUYING -t nat -p tcp --dport 80 -j DROP<br />iptables -I SHOUYING -t nat -d 61.145.117.155 -j RETURN<br />iptables -I SHOUYING -t nat -d 61.145.117.154 -j RETURN<br />iptables -I SHOUYING -t nat -d 202.96.128.86 -j RETURN<br />iptables -I SHOUYING -t nat -d 202.96.128.166 -j RETURN<br />iptables -I SHOUYING -t nat -d 61.152.101.129 -j RETURN<br />iptables -I SHOUYING -t nat -d 61.152.101.128 -j RETURN<br />iptables -I SHOUYING -t nat -d 61.152.101.117 -j RETURN<br />iptables -I SHOUYING -t nat -d 61.152.101.74 -j RETURN<br />iptables -I SHOUYING -t nat -d 61.152.101.49 -j RETURN<br />iptables -I SHOUYING -t nat -d 202.105.12.231 -j RETURN<br />iptables -I SHOUYING -t nat -d 218.18.95.176 -j RETURN<br />iptables -I SHOUYING -t nat -d 61.152.98.64 -j RETURN<br />iptables -I SHOUYING -t nat -d $WGIP -j RETURN<br />iptables -I SHOUYING -t nat -d 219.136.249.226 -j RETURN<br />iptables -I SHOUYING -t nat -d 218.30.64.194 -j RETURN<br />iptables -I SHOUYING -t nat -d 125.64.7.176 -j RETURN<br />iptables -I SHOUYING -t nat -d 125.95.190.220 -j RETURN<br />iptables -I SHOUYING -t nat -d 119.145.141.75 -j RETURN<br />iptables -I SHOUYING -t nat -d www.sicent.com -j RETURN<br />iptables -I SHOUYING -t nat -d 61.152.101.113 -j RETURN</p><p>###########保护游戏服务器#########<br />iptables -N YOUXI -t nat<br />iptables -A PREROUTING -t nat -s 192.168.0.3 -j YOUXI<br />iptables -A PREROUTING -t nat -s 192.168.0.2 -j YOUXI<br />iptables -A YOUXI -t nat -p tcp --dport 80 -j DROP<br />iptables -I YOUXI -t nat -d www.icafe8.com -j RETURN<br />iptables -I YOUXI -t nat -d 211.103.157.34 -j RETURN<br />iptables -I YOUXI -t nat -d 211.103.157.39 -j RETURN<br />iptables -I YOUXI -t nat -d 211.103.157.38 -j RETURN<br />iptables -I YOUXI -t nat -d 211.103.157.36 -j RETURN</p><p>############ 限速 ###########<br />iptables -N QOS<br />iptables -A FORWARD -i eth0 -p ALL -m hashspeed \! --hashspeed-bytes 64K --hashspeed-mode srcip --hashspeed-name slimit -j QOS<br />iptables -A FORWARD -o eth0 -p ALL -m hashspeed \! --hashspeed-bytes 350K --hashspeed-mode dstip --hashspeed-name dlimit -j QOS<br />iptables -A QOS -j DROP<br />#iptables -I QOS -s 192.168.0.2 -j RETURN<br />iptables -I QOS -d 192.168.0.2 -j RETURN<br />#iptables -I FORWARD -m ipp2p --xunlei -j DROP</p><p>exit 0</p><p>加入启动后如果出现错误:</p><p>#:cp -r /usr/local/sbin/iptables /sbin/iptables</p> <hr class="content-copyright" style="margin-top:50px" /><blockquote class="content-copyright" style="font-style:normal"><p class="content-copyright">版权属于:大漠孤狼</p><p class="content-copyright">本文链接:<a class="content-copyright" href="https://www.dmgls.com/355.html">https://www.dmgls.com/355.html</a></p><p class="content-copyright">转载时须注明出处及本声明</p></blockquote> Last modification:July 14th, 2020 at 11:53 am © 允许规范转载 Support 如果觉得我的文章对你有用,请随意赞赏 Appreciate the author