关于安全

knuoxy

#! /bin/sh
sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
echo "1"> /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
sysctl -w net.ipv4.tcp_max_syn_backlog = 2048
sysctl -w net.ipv4.tcp_syncookies = 1
sysctl -w net.ipv4.tcp_synack_retries = 3
sysctl -w net.ipv4.tcp_syn_retries = 3
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -j DROP
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 外网

大家帮我分析下，我以上的策略能否全部成功运行，另外在安全方面怎么样。。谢谢了 ：）

knuoxy

iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -j DROP
这边如果改成FORWARD链会不会好点。也就是不转发除192这段的地址。
这样是否能够防止内向外发的DDOS攻击呢？

platinum

若有内网向外 DoS，体现的效果是
1、Linux 负载超高
2、所有人都不能上网（但可能可以解析域名和 ping 通外网）

knuoxy

那请问斑竹,有没有有效的防止内网向外发送DDOS攻击的策略?
当然前提是在不影响上网的情况下..

[ 本帖最后由 knuoxy 于 2007-6-22 23:15 编辑 ]

platinum

就这个问题而言，标配的 Linux 不能做到，但是对于深刻理解 TCP 协议栈，会内核编程的人来说可以实现
不过据说 FreeBSD 和 OpenBSD 可以，但只是听说没有用过

knuoxy

在请问您下，如果我现在想限制TCP连接数，那么对于打开网站会有影响。我如果采用SQUID.
做透明代理，能解决打开网站慢这个问题么？