对于这个问题,IPTABLES应该如何设置?

platinum

原帖由 ybbnew 于 2006-12-14 15:48 发表
iptables -t nat -I PREROUTING  -i 外网网卡 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
15这个值根据情况可以再设小一点
可能会好点吧？

只有 syn 过来的话，会产生“连接态”吗？如果不会，那么 connlimit 根本就匹配不到它

dAVIY

直接对SYN进行限制可以不?或者干脆把retries设置为0

platinum

原帖由 dAVIY 于 2006-12-15 10:24 发表
直接对SYN进行限制可以不?或者干脆把retries设置为0

那你怎么上网？

wgl155

可以试试apache的mod_evasive模块

mingjie1348

佩服，TCP连接都没了。还开服务器干吗？

ybbnew

iptables -t nat -I PREROUTING  -i 外网网卡 -p tcp --dport 80 --syn -m connlimit --connlimit-above 15 -j DROP
以前我也出现过此类问题，用这样一句话，确实很有效果啊。而且DROP掉的数据包确实很多。

xiaoqi8866

学习中.......

ningniu

原帖由 dAVIY 于 2006-12-12 09:30 发表
机器的WEB服务好象没有反映,IPTABLES已经设置了:
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP

用netstat -an看了一下,如下:
tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
tcp ...

没看懂你的意思
好像是检测tcp状态标志SYN,RST,ACK这三位,如果只设置了SYN位就丢弃
下面有几个例了,希望对你有用:
#丢弃没置位的包
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#丢弃SYN和FIN同进置位的包
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
#丢弃只置FIN位,但又要求检测ACK位的包
-A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP

darking358

syn cookie + syn proxy