单机
----------------------------------------------------------
这个防火墙有什么缺陷,它不可以抵挡哪些攻击?
怎样改进它?
#! /bin/bash
IPTABLE=/sbin/iptables
$IPTABLE -F #删除默认链
$IPTABLE -X #删除自定义链
$IPTABLE -P INPUT DROP
$IPTABLE -A INPUT -m state --state INVALID -j LOG --log-ip-options --log-prefix "不合法_外部链接"
$IPTABLE -A INPUT -m state --state INVALID -j DROP
$IPTABLE -A INPUT -i lo -j LOG --log-ip-options --log-prefix "环回_链接"
$IPTABLE -A INPUT -i lo -j ACCEPT
#$IPTABLE -A INPUT -m state --state ESTABLISHED,RELATED -j LOG --log-prefix "合法_外部链接"
$IPTABLE -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPTABLE -A INPUT -i lo -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLE -A OUTPUT -o lo -m state --state NEW,ESTABLISHED -j LOG --log-prefix "离开本地_数据包"
QQDIYQQ 于 2011-02-06 15:23:40发表:
[i=s] 本帖最后由 QQDIYQQ 于 2011-2-6 22:21 编辑 [/i]
单机(非局域网)
用IPTABLE防止DDOS攻击,IPTABLE这样写法,对么?
防火墙的[b]顺序[/b]是否是这样安排?
#! /bin/bash
IPTABLE=/sbin/iptables
$IPTABLE -F #删除默认链
$IPTABLE -X #删除自定义链
$IPTABLE -P INPUT DROP
$IPTABLE -A INPUT -m state --state INVALID -j DROP
$IPTABLE -A INPUT -i lo -j ACCEPT
$IPTABLE -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #不能增加:-i ppp0
#$IPTABLE -A INPUT -i lo -m state --state ESTABLISHED,RELATED -j ACCEPT #以上两行改为这句也可以。
#防止SYN攻击 轻量级预防
$IPTABLE -N syn-flood
$IPTABLE -A INPUT -p tcp --syn -j syn-flood
$IPTABLE -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
$IPTABLE -A syn-flood -j REJECT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
$IPTABLE -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
$IPTABLE -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#抵御DDOS
iptables -A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
mengfei52306 于 2011-02-05 18:10:26发表:
不懂这个,我用gufw这个防火墙,设置简单
bzbj 于 2011-02-05 09:03:17发表:
不懂,帮顶上