使用 iptables 防御 DDOS

使用 iptables 防御 DDOS

我有一个 Debian 6 的服务器,里面有很多游戏服务器,遗憾的是,我已经被迷住了。我想建立坚固的防火墙,保证我的服务器安全。

答案1

使用这些 iptables 规则:

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -j REJECT

第一个规则通过检查连接跟踪模块分配的状态来接受请求的入站流量。当状态为以下时,数据包被接受:

ESTABLISHED(构成防火墙先前决定允许的现有连接一部分的数据包)或 RELATED(将启动新连接,但已知与现有连接相关的数据包)。

这里的 ICMP(第二条规则)是一个特殊情况,因为它是所有主机都应该支持的 Internet 协议的组成部分。可以说,阻止 ICMP 提供了一些较小的安全优势,但在大多数情况下,这可能会给合法用户和管理员带来比潜在攻击者更多的不便。因此,此处描述的方法允许入站 ICMP 流量,即使该流量是未经请求的。

第三条规则接受来自环回接口的所有流量。通过环回接口接收到的任何流量都必须源自本地计算机,因此(通过某种方式)它必须是由本地计算机请求的。

相关内容