[问题求助]用iptables限制入站的TCP数据包,以阻止拒绝服务的攻击! [复制链接]

#Create sys-flood .chain for detecting Denial of Service. attacks           建材
ip.tables -t nat -N syn-.flood.

#Limit 12. connections per sencond (.burst to 24)[成人用品]
iptables -t nat -A syn -m limit --.limit .12/s --limit-burst 24 -j RETURN健康
iptables -t n.at -A sys-flood -.j DROP.

#Check for Dos at.tack(广告)
iptab.les -t na.t -A PREROUTING -i $EXT_IFACE -d $DEST_IP. -p tcp --syn -j syn-flood教育

###$EXT_IFACE:防.火墙的外部接口          婚庆
###$DEST_IP:该.数据包的最终请求目的电脑

不知道上面的规则可行否?讨.论一下!.

#Create sys-flood chain for detecting Denial of Service attacks
iptables -t nat -N syn-flood

#Limit 12 connections per sencond (burst to 24)
iptables -t nat -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN
iptables -t nat -A sys-flood -j DROP

#Check for Dos attack
iptables -t nat -A PREROUTING -i $EXT_IFACE -d $DEST_IP -p tcp --syn -j syn-flood

不好意思,有处笔误,已改正

看你想干什么了?这个设置对对外提供服务的机器没有用.对内会造成用户访问网络的不公平，用TC.

QUOTE:原帖由 qtdszws 于 2006-1-19 18:18 发表
看你想干什么了?这个设置对对外提供服务的机器没有用.对内会造成用户访问网络的不公平，用TC.



目的？当然是防止来自公网上的DDos攻击  ！！！
应该是用包过滤吧？

QUOTE:原帖由 qtdszws 于 2006-1-19 18:18 发表
看你想干什么了?这个设置对对外提供服务的机器没有用.对内会造成用户访问网络的不公平，用TC.



那你认为要怎么样做呢？
请不吝赐教

QUOTE:原帖由 李某人 于 2006-1-19 20:29 发表



目的？当然是防止来自公网上的DDos攻击  ！！！
应该是用包过滤吧？

利用 tcpproxy 来替换原有 TCP 协议栈的三次握手，具体需要内核编程。。。

QUOTE:原帖由 李某人 于 2006-1-19 15:56 发表
#Create sys-flood chain for detecting Denial of Service attacks
iptables -t nat -N syn-flood

#Limit 12 connections per sencond (burst to 24)
iptables -t nat -A syn -m limit --limit 12/s --limi ...


This is useless and even worse.