这个是个细心活儿,如果只开放特定端口,则在每一条规则里都要加上相应的端口。
任何一条不配DPORT,都有可能放行了其它端口。
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above XXXX
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit XXXX
~~~~~~~~~~~~
比如,以上两条,如果不指定--PORT 80,则尽管你在IPTABLES的尾部有类似于-A INPUT -j REJECT --reject-with icmp-host-prohibited
这些语句,也无法针对IP来开放或是封闭端口的。。。
