|
|
单机
这样的IPTABLE规则可以防止,DDOS攻击么?
#! /bin/bash
IPTABLE=/sbin/iptables
$IPTABLE -F #删除默认链
$IPTABLE -X #删除自定义链
$IPTABLE -P INPUT DROP
$IPTABLE -A INPUT -m state --state INVALID -j DROP
$IPTABLE -A INPUT -i lo -j ACCEPT
$IPTABLE -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #不能增加:-i ppp0
#$IPTABLE -A INPUT -i lo -m state --state ESTABLISHED,RELATED -j ACCEPT #以上两行改为这句也可以。
#防止SYN攻击 轻量级预防
$IPTABLE -N syn-flood
$IPTABLE -A INPUT -p tcp --syn -j syn-flood
$IPTABLE -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
$IPTABLE -A syn-flood -j REJECT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
$IPTABLE -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
$IPTABLE -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#抵御DDOS (参数与上相同)
iptables -A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT |
|
IP卡
狗仔卡
发表于 2011-2-6 09:37:43
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主