悲观，DDOS的攻击iptables难以防范

smile787 · 发表于 2004-8-1 08:18:38

加个内网过滤，丢一下虚拟地址的包，效果也不错！试试

包子 · 发表于 2004-8-5 09:16:49

最初由 smile787 发表
加个内网过滤，丢一下虚拟地址的包，效果也不错！试试

ＮＯＤ　：）

fleagle · 发表于 2004-8-5 19:28:21

最初由 ymyhz 发表
请指教：
:INPUT ACCEPT [3189650:1313016708]
:FORWARD ACCEPT [12883974:8572358810]
:OUTPUT ACCEPT [3724736:3104138805]
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p udp -m udp --dport 137 -j DROP
-A INPUT -p tcp -m tcp --dport 1068 -j DROP
-A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j DROP
-A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 445 -j DROP
-A FORWARD -p udp -m udp --dport 138 -j DROP
-A FORWARD -p udp -m udp --dport 137 -j DROP
-A FORWARD -p tcp -m tcp --dport 1068 -j DROP
-A FORWARD -p tcp -m tcp --dport 5554 -j DROP
-A FORWARD -p icmp -j DROP

REROUTING ACCEPT [986908:53126959]
OSTROUTING ACCEPT [31401:2008714]
:OUTPUT ACCEPT [30070:1952143]
-A POSTROUTING -p tcp -m tcp --dport 445 -j DROP

来自私网病毒报都是随机产生不存在的IP，向外发送，可能没有设置好iptables，病毒报可以轻松把机器弄趴下。或许用RHAS3会好一些。

有时候还要受到来自公网上的25端口的syn报攻击，平均负载节节上升，直到把机器资源消耗完，通过iptables有办法吗？

对于来自公网上的25端口的syn报攻击，你可以试一试：
iptables -A INPUT -i INET_IFACE -p tcp --syn --dport 25 -m limit --limit 1/sec -j ACCEPT

iptables -P INPUT DROP

smile787 · 发表于 2004-8-6 21:37:27

最初由包子发表
ＮＯＤ　：）

上次一网管内网机器中毒，用虚拟地址乱发syn包，在forward里加了条丢弃非内网192.168.0.x内网的机器的包，效果很好！

但是对于公网的www等服务还是做峰值限制好。。。
这个没有特别有效的办法，特别是外网提供服务的时候。。只好限制！;)

你那个nod是什么来的？近来忙吗？听说考研了？

		自动登录	找回密码
密码			注册