最好写个脚本
# DROP Ping of Death
/sbin/iptables -N ping
/sbin/iptables -A ping -p icmp --icmp-type echo-request -m limit --limit 1/second -j RETURN
/sbin/iptables -A ping -p icmp -j REJECT
/sbin/iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW -j ping
# drop bad scran
/sbin/iptables -A INPUT -i $OUTIF -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -A INPUT -i $OUTIF -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A INPUT -i $OUTIF -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
/sbin/iptables -A INPUT -i $OUTIF -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -A INPUT -i $OUTIF -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -A INPUT -i $OUTIF -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
设置访问80的次数,对并发较大的可以限制下 (在命令行下执行 然后save 保存到iptables里面因为有时不生效) 可以限制用户刷新次数
/sbin/iptables -A INPUT -p tcp --dport 80 -m limit --limit 30/s -j ACCEPT
48 #limit sync flood
/sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 5/second -j ACCEPT
51 #limit nmop
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/second -j ACCEPT
/sbin/iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW -j ping
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
65 ##limit ping
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 5/second -j ACCEPT
最后
/etc/init.d/iptables save会保存到iptables里面 这些对于抵挡外界的flood dos攻击起到一些作用,根据自己实际情况设定
阅读(1553) | 评论(1) | 转发(0) |
