为了在操作系统级别保护服务器和服务免受洪泛,需要配置防火墙,设置同时连接数限制,我们将看看对某些服务的限制。 以此类推,您可以通过替换必要的端口来为您的服务添加规则。
ICMP
为了保护自己免受 icmp 洪水攻击,您需要添加每秒 ping 次数的限制:
-A INPUT -p icmp -m hashlimit --hashlimit-upto 6/sec --hashlimit-burst 4 --hashlimit-name icmp -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
在此示例中,我们允许最多 4 个 ping,每秒最多 6 个。
HTTP 和 HTTPS
规则限制了同时连接的数量,这个数量可以调整以适合您的流量,并且需要注意的是,该值必须大于ddos deflate服务的规则中的值。
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
SSH
我们建议将默认端口从 22 更改为其他端口,例如 3022 等。 由于猜测密码的尝试如此之多,因此大多数连接都是通过 ssh 服务进行的。
-A INPUT -p tcp -m tcp --dport 3022 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
如果您有其他服务(例如邮件),请以类似的方式创建规则。
暂时没有评论