设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 各位大神centos6 iptables防火墙不知道这样子写对不对? ...
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
返回列表 发新帖
查看: 836|回复: 1

[Windows VPS] 各位大神centos6 iptables防火墙不知道这样子写对不对?

[复制链接]
631460218
发表于 2018-9-20 16:42:34 | 显示全部楼层 |阅读模式
loc的各位大神,本人liunx系统小白一枚,正在使用centos6.8服务器,3H 2G的配置。

不知道iptables防火墙应该怎么配置可以防DDOS攻击和CC攻击,百度了一堆资料,参考网上一些大神的iptables资料,写了以下iptables配置,不知道对不对,希望各位大神指教下对错:

/etc/sysconfig/iptables

  1. # Generated by iptables-save v1.4.7 on Thu Sep 20 10:14:13 2018
  2. *filter
  3. :INPUT DROP [0:0]
  4. :FORWARD ACCEPT [0:0]
  5. :OUTPUT ACCEPT [1:40]
  6. # 服务器收到大规模的攻击,这个防御规则也可以减少大部分的垃圾数据
  7. -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
  8. # 如果收到的数据包没有tcp标示的那么就丢弃它们
  9. -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
  10. # 如果收到的SYN数据包长时间占用服务器资源,就会自动结束掉他
  11. -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
  12. # 防止SYN攻击,轻量级预防
  13. -N syn-flood
  14. -A INPUT -p tcp –syn -j syn-flood
  15. -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
  16. -A syn-flood -j REJECT
  17. # 防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
  18. -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
  19. -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
  20. # 用Iptables抵御DDOS
  21. -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
  22. -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
  23. # 常用端口
  24. -A INPUT -p tcp -m state --state NEW -m tcp --dport 39000:40000 -j ACCEPT
  25. -A INPUT -p tcp -m state --state NEW -m tcp --dport 宝塔端口 -j ACCEPT
  26. -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
  27. -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
  28. -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
  29. -A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
  30. -A INPUT -p tcp -m state --state NEW -m tcp --dport SSH端口 -j ACCEPT
  31. -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
  32. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
  33. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
  34. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
  35. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
  36. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  37. COMMIT
  38. # Completed on Thu Sep 20 10:14:13 2018
复制代码
回复

举报

淡某人
发表于 2018-9-20 16:57:37 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-4-30 15:08 , Processed in 0.058907 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表