ऑपरेटिंग सिस्टम स्तर पर सर्वर और सेवाओं को बाढ़ से बचाने के लिए, आपको फ़ायरवॉल को कॉन्फ़िगर करने की आवश्यकता है, एक साथ कनेक्शन की संख्या पर सीमा निर्धारित करें, हम कुछ सेवाओं पर प्रतिबंधों को देखेंगे। सादृश्य से, आप आवश्यक पोर्ट को प्रतिस्थापित करके अपनी सेवाओं के लिए नियम जोड़ सकते हैं।
ICMP
आईसीएमपी बाढ़ से खुद को बचाने के लिए, आपको प्रति सेकंड पिंग की संख्या पर एक सीमा जोड़ने की आवश्यकता है:
-A INPUT -p icmp -m hashlimit --hashlimit-upto 6/sec --hashlimit-burst 4 --hashlimit-name icmp -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
इस उदाहरण में, हम अधिकतम 4 पिंग की अनुमति दे रहे हैं, अधिकतम 6 प्रति सेकंड।
HTTP и HTTPS
नियम एक साथ कनेक्शन की संख्या को सीमित करते हैं, इस संख्या को आपके ट्रैफ़िक के अनुरूप समायोजित किया जा सकता है, और यह ध्यान दिया जाना चाहिए कि मूल्य डीडीओएस डिफ्लेट सेवा के नियमों से अधिक होना चाहिए।
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
SSH
हम डिफ़ॉल्ट पोर्ट को 22 से दूसरे में बदलने की सलाह देते हैं, उदाहरण के लिए 3022, आदि। चूंकि पासवर्ड का अनुमान लगाने के बहुत सारे प्रयास होते हैं, इसलिए अधिकांश कनेक्शन एसएसएच सेवा से किए जाते हैं।
-A INPUT -p tcp -m tcp --dport 3022 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
यदि आपके पास मेल जैसी अन्य सेवाएँ हैं, तो इसी तरह नियम बनाएँ।