AXW0 2015-06-25
http://blog.sina.com.cn/s/blog_5a140b930100z9pt.html
配置防火墙防止syn,ddos攻击
[root@m176com~]#vim/etc/sysconfig/iptables
在iptables中加入下面几行
#antisyn,ddos
-AFORWARD-ptcp--syn-mlimit--limit1/s--limit-burst5-jACCEPT
-AFORWARD-ptcp--tcp-flagsSYN,ACK,FIN,RSTRST-mlimit--limit1/s-jACCEPT
-AFORWARD-picmp--icmp-typeecho-request-mlimit--limit1/s-jACCEPT
说明:
第一行:每秒中最多允许5个新连接
第二行:防止各种端口扫描
第三行:Ping洪水攻击(PingofDeath)
可以根据需要调整或关闭
重启防火墙
[root@m176com~]#/etc/init.d/iptablesrestart
屏蔽一个IP
#iptables-IINPUT-s192.168.0.1-jDROP
怎么防止别人ping我??
#iptables-AINPUT-picmp-jDROP
防止同步包洪水(SyncFlood)
#iptables-AFORWARD-ptcp--syn-mlimit--limit1/s-jACCEPT
防止各种端口扫描
#iptables-AFORWARD-ptcp--tcp-flagsSYN,ACK,FIN,RSTRST-mlimit--limit1/s-jACCEPT
Ping洪水攻击(PingofDeath)
#iptables-AFORWARD-picmp--icmp-typeecho-request-mlimit--limit1/s-jACCEPT
#NMAPFIN/URG/PSH
#iptables-AINPUT-ieth0-ptcp--tcp-flagsALLFIN,URG,PSH-jDROP
#XmasTree
iptables-AINPUT-ieth0-ptcp--tcp-flagsALLALL-jDROP
#AnotherXmasTree
#iptables-AINPUT-ieth0-ptcp--tcp-flagsALLSYN,RST,ACK,FIN,URG-jDROP
#NullScan(possibly)
iptables-AINPUT-ieth0-ptcp--tcp-flagsALLNONE-jDROP
#SYN/RST
#iptables-AINPUT-ieth0-ptcp--tcp-flagsSYN,RSTSYN,RST-jDROP
#SYN/FIN--Scan(possibly)
#iptables-AINPUT-ieth0-ptcp--tcp-flagsSYN,FINSYN,FIN-jDROP
##限制对内部封包的发送速度
#iptables-AINPUT-f-mlimit--limit100/s--limit-burst100-jACCEPT
##限制建立联机的转
#iptables-AFORWARD-f-mlimit--limit100/s--limit-burst100-jACCEPT