Linux iptables 防止 syn ddos ping 等 攻击

http://blog.sina.com.cn/s/blog_5a140b930100z9pt.html

配置防火墙防止syn,ddos攻击

[root@m176com~]#vim/etc/sysconfig/iptables

在iptables中加入下面几行

#antisyn,ddos

-AFORWARD-ptcp--syn-mlimit--limit1/s--limit-burst5-jACCEPT

-AFORWARD-ptcp--tcp-flagsSYN,ACK,FIN,RSTRST-mlimit--limit1/s-jACCEPT

-AFORWARD-picmp--icmp-typeecho-request-mlimit--limit1/s-jACCEPT

说明:

第一行:每秒中最多允许5个新连接

第二行:防止各种端口扫描

第三行:Ping洪水攻击(PingofDeath)

可以根据需要调整或关闭

重启防火墙

[root@m176com~]#/etc/init.d/iptablesrestart

屏蔽一个IP

#iptables-IINPUT-s192.168.0.1-jDROP

怎么防止别人ping我??

#iptables-AINPUT-picmp-jDROP

防止同步包洪水(SyncFlood)

#iptables-AFORWARD-ptcp--syn-mlimit--limit1/s-jACCEPT

防止各种端口扫描

#iptables-AFORWARD-ptcp--tcp-flagsSYN,ACK,FIN,RSTRST-mlimit--limit1/s-jACCEPT

Ping洪水攻击(PingofDeath)

#iptables-AFORWARD-picmp--icmp-typeecho-request-mlimit--limit1/s-jACCEPT

#NMAPFIN/URG/PSH

#iptables-AINPUT-ieth0-ptcp--tcp-flagsALLFIN,URG,PSH-jDROP

#XmasTree

iptables-AINPUT-ieth0-ptcp--tcp-flagsALLALL-jDROP

#AnotherXmasTree

#iptables-AINPUT-ieth0-ptcp--tcp-flagsALLSYN,RST,ACK,FIN,URG-jDROP

#NullScan(possibly)

iptables-AINPUT-ieth0-ptcp--tcp-flagsALLNONE-jDROP

#SYN/RST

#iptables-AINPUT-ieth0-ptcp--tcp-flagsSYN,RSTSYN,RST-jDROP

#SYN/FIN--Scan(possibly)

#iptables-AINPUT-ieth0-ptcp--tcp-flagsSYN,FINSYN,FIN-jDROP

##限制对内部封包的发送速度

#iptables-AINPUT-f-mlimit--limit100/s--limit-burst100-jACCEPT

##限制建立联机的转

#iptables-AFORWARD-f-mlimit--limit100/s--limit-burst100-jACCEPT

相关推荐