免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1732 | 回复: 5
打印 上一主题 下一主题

[网络管理] 关于安全 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2007-06-22 13:34 |只看该作者 |倒序浏览
#! /bin/sh
sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
echo "1"> /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
sysctl -w net.ipv4.tcp_max_syn_backlog = 2048
sysctl -w net.ipv4.tcp_syncookies = 1
sysctl -w net.ipv4.tcp_synack_retries = 3
sysctl -w net.ipv4.tcp_syn_retries = 3
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -j DROP
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 外网

大家帮我分析下,我以上的策略能否全部成功运行,另外在安全方面怎么样。。谢谢了 :)

论坛徽章:
0
2 [报告]
发表于 2007-06-22 13:37 |只看该作者
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -j DROP
这边如果改成FORWARD链会不会好点。也就是不转发除192这段的地址。
这样是否能够防止内向外发的DDOS攻击呢?

论坛徽章:
0
3 [报告]
发表于 2007-06-22 22:24 |只看该作者
若有内网向外 DoS,体现的效果是
1、Linux 负载超高
2、所有人都不能上网(但可能可以解析域名和 ping 通外网)

论坛徽章:
0
4 [报告]
发表于 2007-06-22 23:13 |只看该作者
那请问斑竹,有没有有效的防止内网向外发送DDOS攻击的策略?
当然前提是在不影响上网的情况下..

[ 本帖最后由 knuoxy 于 2007-6-22 23:15 编辑 ]

论坛徽章:
0
5 [报告]
发表于 2007-06-22 23:25 |只看该作者
就这个问题而言,标配的 Linux 不能做到,但是对于深刻理解 TCP 协议栈,会内核编程的人来说可以实现
不过据说 FreeBSD 和 OpenBSD 可以,但只是听说没有用过

论坛徽章:
0
6 [报告]
发表于 2007-06-25 10:22 |只看该作者
在请问您下,如果我现在想限制TCP连接数,那么对于打开网站会有影响。我如果采用SQUID.
做透明代理,能解决打开网站慢这个问题么?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP