iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

ZYLbbs

#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
--limit 1/s 限制syn并发数每秒1次

想加强一下WEB服务器安全，研究了两天iptables，google上说上面这个东西能达到防护SYN FLOOD的效果，我怎么看着长的有点不太像呀

拿 iptables -A  INPUT -p icmp -m limit --limit 1/s -j ACCEPT 做了个实验 用一台客户端猛PING服务器  另外一台客户端就ping不通服务器了

不知道这两者意义是不是一样的       要是这个1/s说的是一个ip地址的SYN数的话这个命令确实有点用  假如是总数的话那不是帮倒忙？  


求各位前辈赐教！  小子不胜感激！

ZYLbbs

没人知道吗？   知道的说一下  发挥下雷锋精神呀

zzx4441

你可以加个地址匹配-_!

ZYLbbs

又考虑了一下   觉得这个命令应该是用来保护服务器 设置访问请求   发生SYN攻击时候不至于导致服务器死机的情况     但是这个值得话要看服务器的承载力来计算    不然很可能少量的攻击就会导致拒绝服务的发生

不知道我的理解对不对？

zzx4441

拒绝服务器攻击只能缓解，完全防范 难啊

suddenkiller

这个规则是用来限制tcp syn包的并发连接数，拿Ping测试根本触发不了规则！怎么也得找个syn flood的工具试吧？

zzx4441

拿 iptables -A  INPUT -p icmp -m limit --limit 1/s -j ACCEPT 做了个实验 用一台客户端猛PING服务器  另外一台客户端就ping不通服务器了

不知道这两者意义是不是一样的  

楼上麻烦看看完，在回答！

ZYLbbs

回复 3# zzx4441


    我做在web服务器上  只能所有呀     我设了个50/S      不知道效果会怎么样

yuhuohu

回复 3# zzx4441


    这个咋么折腾？不是太明白，加个地址匹配就能够实现每个地址限定连接数？