悲观，DDOS的攻击iptables难以防范

ymyhz

服务器做了nat，遇到私网pc中了蠕虫病毒，乱发SYN报，服务器就瘫了，哪怕我在iptables上作了过滤：
forward -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j ACCEPT
类似的语句还不少，真来了照样，在messages的日志中出现了这样的记录：
1 Time(s): NET: 996 messages suppressed.
1 Time(s): NET: 998 messages suppressed.
2088 Time(s): Neighbour table overflow.

Snoopy

你过滤的规则有哪些 ?

ymyhz

请指教：
:INPUT ACCEPT [3189650:1313016708]
:FORWARD ACCEPT [12883974:8572358810]
:OUTPUT ACCEPT [3724736:3104138805]
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p udp -m udp --dport 137 -j DROP
-A INPUT -p tcp -m tcp --dport 1068 -j DROP
-A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j DROP
-A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 445 -j DROP
-A FORWARD -p udp -m udp --dport 138 -j DROP
-A FORWARD -p udp -m udp --dport 137 -j DROP
-A FORWARD -p tcp -m tcp --dport 1068 -j DROP
-A FORWARD -p tcp -m tcp --dport 5554 -j DROP
-A FORWARD -p icmp -j DROP

REROUTING ACCEPT [986908:53126959]
OSTROUTING ACCEPT [31401:2008714]
:OUTPUT ACCEPT [30070:1952143]
-A POSTROUTING -p tcp -m tcp --dport 445 -j DROP

来自私网病毒报都是随机产生不存在的IP，向外发送，可能没有设置好iptables，病毒报可以轻松把机器弄趴下。或许用RHAS3会好一些。

有时候还要受到来自公网上的25端口的syn报攻击，平均负载节节上升，直到把机器资源消耗完，通过iptables有办法吗？

Snoopy

开得还有哪些服务 ?

ymyhz

21，22，23，25，110，80，443

ymyhz

这可能与我开的那些服务关系不大，因为我所观察到的并不是针对机器的攻击，都是私网的中毒pc发出来的无头包。
因为做了nat，这些报先过filter还是nat，应该是filter吧。

网事无痕

我也遇到了这中状况，不过我把DROP从ForWard移到 POSTROUTING 后好像好了一点！不过最终结果还是一样。我只好在交换机中把那个内网的MAC地址过滤了！

just_dome

兄弟不要悲观，如果你彻底的了解一下DDos的话！

并且需要认清netfilter这个框架到底能作些什么活！

包子

尝试用fbsd+ipf做nat看看嘛fbsd比较耐打

不过杀毒才是根本

ymyhz

谢谢各位大大