我来了，我公司的情况：公司有150台个人PC,2台服务器，（1台IBM 做DB2数据库，内部用，2台是外部的服务器做NAT，做路由用的），在1台中安装samba做PDC,在2台服务器上有1个apache服务，还有个FTP服务，现在进了一个服务器做其他分公司和我公司的业务交流有个固定IP,帮我规划一下，最好帮我写下方案，里面包括iptables 和 samba安全权限，apache把ddos减少到最小还不妨碍访问流量，150台有60能上网，2个交换，我要怎么做呢 ！！对了，192.168.10.*是公司的ip内段，有时间帮我分析下啊 ！！
谢谢了， 我过几天来看看你的方案

由于你给的个方面资料不全面,我只能以我自己的理解来做解决方案了,
 

因为你说公司就2个交换机,所以我猜测应该是64口的,和24个单机pc,上面就是我画的基本拓扑,nat_server做代理实现路由功能,switch1中有60个口可以上网,在nat_server上开起iptables 添加一条语句iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 192.168.0.1-192.168.10.60 (iptabls基本设置我不做介绍了),例如你的nat_server内网eth0是192.168.0.1,所以apache和ftp分别设置语句是:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.10.1:80 ,

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to 192.168.10.1:21

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 20 -j DNAT --to 192.168.10.1:20

然后记得service iptables save , 在重启一下service iptables restart,声明一句,eth1是外网网卡,其余的正常连接swicth.然后是内网的db2_server安装完成后只能由内部访问,samba_PDC也很容易实现.你的第3个服务器要做什么,想实现什么功能,在上面有多少个服务,条件太少无从下手.syn问题只能得到简单的改善,sysctl -a |grep syn 查看一下系统内何中的syn情况,

net.ipv4.tcp_max_syn_backlog = 256 #这个是syn队列长度256小了点,可以增大到2048

net.ipv4.tcp_syncookies = 0 #是否开启cookices记录功能 设置1 开启

net.ipv4.tcp_synack_retries = 5 #是确认重试syn的最大次数 设置到3就行

net.ipv4.tcp_syn_retries = 5 #是重试syn次数 设置未就行,

设置方法就是用sysctl -w net.ipv4.tcp_max_syn_backlog = 2048 (这样系统会提示错误)

            sysctl -w net.ipv4.tcp_max_syn_backlog=2048 (发现问题了吧!是等号前后无空格)

其他几个也这样设置,也可以设置相应的文件,在/proc/sys/net/ipv4/ 下,用 ls -l /proc/sys/net/ipv4 |grep syn 查找文件,在vi修改,但这几个文件是在开机后内何加载的文件,所以每次重启系统都会还原,所以建议设置到/etc/rc.d/rc.local下,把上面命令添加到这里.

至于DDOS(分布式拒绝服务)我个人没有好的解决方法,这个安全漏洞一直是业界关注的话题.现在很多的硬件防御DOS但效果一直平平,软件方面更没有良好口碑,只能是自己时时监控,用netstat.ps.top等软件勤观察就行,我个人看法啊!