为了在操作系统级别保护服务器和服务免受洪泛，需要配置防火墙，设置同时连接数限制，我们将看看对某些服务的限制。 以此类推，您可以通过替换必要的端口来为您的服务添加规则。

ICMP

为了保护自己免受 icmp 洪水攻击，您需要添加每秒 ping 次数的限制：

-A INPUT -p icmp -m hashlimit --hashlimit-upto 6/sec --hashlimit-burst 4 --hashlimit-name icmp -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP

在此示例中，我们允许最多 4 个 ping，每秒最多 6 个。

HTTP 和 HTTPS

规则限制了同时连接的数量，这个数量可以调整以适合您的流量，并且需要注意的是，该值必须大于ddos deflate服务的规则中的值。

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

SSH

我们建议将默认端口从 22 更改为其他端口，例如 3022 等。 由于猜测密码的尝试如此之多，因此大多数连接都是通过 ssh 服务进行的。

-A INPUT -p tcp -m tcp --dport 3022 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

如果您有其他服务（例如邮件），请以类似的方式创建规则。