linux检测及防止DDOS攻击的技巧(2)

　　防火墙策略：

　　#缩短SYN- Timeout时间：

　　iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

　　iptables -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT

　　#每秒最多3个syn封包进入：

　　iptables -N syn-floodiptables -A INPUT -p tcp --syn -j syn-flood

　　iptables -A syn-flood -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURNiptables -A syn-flood -j REJECT

　　方法二，利用iptables防ddos攻击更详细版本

　　RH 8.0以上开始启用iptables替代ipchains，两者非常类似，也有差别的地方。

　　* 启用iptables

　　如果/etc/sysconfig/下没有iptables文件，可以创建：

　　# Firewall configuration written by lokkit

　　# Manual customization of this file is not recommended.

　　# Note： ifup-post will punch the current nameservers through the

　　# firewall; such entries will *not* be listed here.

　　*filter

　　：INPUT ACCEPT ［0:0］

　　：FORWARD ACCEPT ［0:0］

　　：OUTPUT ACCEPT ［0:0］

　　：RH-Lokkit-0-50-INPUT - ［0:0］

　　-A INPUT -j RH-Lokkit-0-50-INPUT

　　-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

　　COMMIT

　　以上配置允许了ftp， ssh， http， smtp， pop3， mysql， 2001（Prima的ACA端口），domain端口。