|
|
loc的各位大神,本人liunx系统小白一枚,正在使用centos6.8服务器,3H 2G的配置。
不知道iptables防火墙应该怎么配置可以防DDOS攻击和CC攻击,百度了一堆资料,参考网上一些大神的iptables资料,写了以下iptables配置,不知道对不对,希望各位大神指教下对错:
/etc/sysconfig/iptables
[ol]# Generated by iptables-save v1.4.7 on Thu Sep 20 10:14:13 2018*filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [1:40]# 服务器收到大规模的攻击,这个防御规则也可以减少大部分的垃圾数据-A INPUT -p tcp --tcp-flags ALL NONE -j DROP# 如果收到的数据包没有tcp标示的那么就丢弃它们-A INPUT -p tcp ! --syn -m state --state NEW -j DROP# 如果收到的SYN数据包长时间占用服务器资源,就会自动结束掉他-A INPUT -p tcp --tcp-flags ALL ALL -j DROP # 防止SYN攻击,轻量级预防-N syn-flood-A INPUT -p tcp –syn -j syn-flood-I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN-A syn-flood -j REJECT# 防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃-A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP-A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT# 用Iptables抵御DDOS-A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT-A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT# 常用端口-A INPUT -p tcp -m state --state NEW -m tcp --dport 39000:40000 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 宝塔端口 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport SSH端口 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT# Completed on Thu Sep 20 10:14:13 2018[/ol]复制代码 |
|
发表于 2018-9-20 16:42:34