web反弹shell怎么防护？

反弹shell实际是通过linux的socket技术进行通信的，这个过程都需要建立TCP三次握手，然后在通过固定端口进行通信。对于靶机Centos6.9来说，反弹shell的TCP通信端口为某随机端口，那么我们只需要在iptables的filter表的INPUT或OUTPUT链上随便进行一个限制，让其TCP连接不能成功，即可限制反弹shell。

需要注意的是，linux中iptables的默认策略都是ACCEPT，此时防火墙实际是使用黑名单策略，很容易被绕过，这也是很多攻击者经常能够反弹shell成功的原因。