|
|
通过对linux美国服务器下的自带防火墙iptables进行设置可以实现一定程度上防御CC攻击,
天信网络在此具体讲解下实现方式:
首先 开启iptables
service iptables start
此指令仅能一次性开启防火墙,重启后复原
开启防火墙后
配置防火墙的配置文件/etc/sysconfig/iptables
首先配置不被防火墙拦截的端口
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
此处为默认22端口和80端口访问为放行
22为SSH默认连接端口 80为WEB端口
然后 对于80端口的访问设置单个IP最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT
此处设置单个IP的最大并发访问连接数为50 超出50个连接数被自动屏蔽
另外
设置单个IP在规定时间区间内的最大新建连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount
30 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
此处设置的单个IP在60秒周期内最大新建30个连接 超出数量后被自动拒绝
在完成配置后 对iptables防火墙配置进行保存并重启防火墙
service iptables save
service iptables restart
完成所有操作后 将防火墙设置为永久性开启
chkconfig iptables on
如果在配置中发生错误请安装内核程序
kernel-smp-modules-connlimit
更多问题可登陆天信网络官方网站咨询,咨询网址:www.txnet365.com
|
|
发表于 2014-7-8 11:35:04
