iptables设置时，要注意规则的顺序，

如果规则顺序不对，可能同样的规则，会有不一样的效果。

从上到下，一层一层过滤。

如下面的Iptables设置。

如果以下语句不放到比较靠后的地方，那么，那个关于并发连接数的限制是无效的。

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

因为，这个规则已在计算之前放行了。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~

来个最简的配置，以后可以扩展。

# Generated by iptables-save v1.4.7 on Sun Nov  5 13:15:39 2017*filter:INPUT ACCEPT [53:43552]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [183:134367]-A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -s 1.2.3.4/32 -p tcp -j ACCEPT -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP-A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -j REJECT --reject-with icmp-host-prohibited-A OUTPUT -o lo -j ACCEPT COMMIT# Completed on Sun Nov  5 13:15:39 2017