完整的iptables防火墙规则与DDOS攻击防护【给有需要有的人,小白免看】-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

完整的iptables防火墙规则与DDOS攻击防护【给有需要有的人,小白免看】

2015-06-13 00:58:26 9008 2
一、内核优化
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_syn_retries = 0
net.ipv4.tcp_synack_retries = 0
net.ipv4.tcp_max_syn_backlog = 65535
net.core.netdev_max_backlog = 65535
net.ipv4.tcp_max_tw_buckets = 65535
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_keepalive_time = 120
net.ipv4.tcp_fin_timeout = 30
net.ipv4.ip_local_port_range = 1024 65535
二、防火墙设置
*filter
:INPUT DROP [4:261]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1384:1035760]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name ddos --rsource
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 30 --name ddos --rsource -j LOG --log-prefix "ddos"
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 30 --name ddos --rsource -j DROP
-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 14 -j DROP
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
COMMIT
三、增加recent模块记录IP地址的数量(最大8100个)
# vi /etc/modprobe.conf
#增加下面一行
options ipt_recent ip_list_tot=3000 ip_pkt_list_tot=60
这里我们可以调整两个参数:
1) 允许的最大跟踪连接条目,CONNTRACK_MAX
2) 存储跟踪连接条目列表的哈希表的大小,HASHSIZE
3) 默认情况下,CONNTRACK_MAX = HASHSIZE * 8
# vi /etc/sysctl.conf
net.ipv4.netfilter.ip_conntrack_max = 1048576
复制代码
# vi /etc/modprobe.conf
options ip_conntrack hashsize=131072

取消 提交回答
全部回答(2)
  • youchuang
    2015-06-15 10:05:18
    我是小白 我看不懂内核怎么优化
    0 0
  • 孤城
    2015-06-14 00:04:08
    我就是小白,我非要看
    0 0
添加回答
相关问答

1

回答

iptables规则是由什么组成?

2021-12-01 14:57:36 289浏览量 回答数 1

2

回答

Linux开启防火墙配置iptables打开3306端口远程访问不了MySQL

2017-09-08 20:47:21 14725浏览量 回答数 2

2

回答

iptables数量一直增长

2016-12-26 19:41:40 1925浏览量 回答数 2

0

回答

各位大神帮我看看iptables规则 从网上找的

2016-08-31 16:13:40 2665浏览量 回答数 0

1

回答

iptables如何设置转发规则

2016-06-06 16:03:24 5011浏览量 回答数 1

1

回答

求问iptables转发内网规则

2016-02-05 14:38:35 4885浏览量 回答数 1

2

回答

内网iptables上网问题。

2015-02-21 23:25:53 4960浏览量 回答数 2

2

回答

iptables查询没有规则显示问题

2014-12-10 19:47:31 6407浏览量 回答数 2

3

回答

关于iptables的问题

2014-05-26 16:11:11 8553浏览量 回答数 3

0

回答

使用的军哥lnmp,iptables如何设置

2013-10-29 10:57:13 6076浏览量 回答数 0
+关注
李逵
rhce认证 擅长Linux内核编译 Vmware Esxi底层开发 私有云架构
0
文章
124
问答
问答排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载