【筆記整理】Iptables網路連線限制及攻擊防護和相關設定

1. 限制每個IP連接HTTP最大併發50個連接數

iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT

2. 限制每個IP同時最多100個連接數

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT

or

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT

3. 限制每組C Class IP同時最多100個連接數

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 24 -j REJECT

4. 限制每個IP同時5個80 port轉發,超過的丟棄

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP

5. 限制每個IP在60秒內允許新建立30個連接數

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30

-j REJECT

6. (By CentOS 5.x)調整ipt_recent參數,記錄1000個IP,每個IP記錄60個封包

vim /etc/modprobe.conf

options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60

完成後執行

modprobe ipt_recent

7. 每秒最多允許5個新連接封包數

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT

8. 防止各種端口掃描

iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT

9. Ping of Death

iptables -A INPUT -p icmp --icmp-type echo_request -m limit --limit 1/s -j ACCEPT

10. NMAP FIN/URG/PSH

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-level warn

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

11. Xmas Tree

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-level warn

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

12. Another Xmas Tree

iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-level warn

iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

13. Null Scan(possibly)

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-level warn

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

14. SYN/RST

iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST SYN,RST -j LOG --log-level warn

iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST SYN,RST -j DROP

15. SYN/FIN --Scan(possibly)

iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN SYN,FIN -j LOG --log-level warn

iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN SYN,FIN -j DROP

16. Prevent Sync Flood (New Chain:SYNFLOOD)

iptables -N SYNFLOOD

iptables -A SYNFLOOD -p tcp --syn -m limit --limit 1/s -j RETURN

iptables -A SYNFLOOD -p tcp -j LOG --log-level alert

iptables -A SYNFLOOD -p tcp -j REJECT --reject-with tcp-reset

iptables -A INPUT -p tcp -m state --state NEW -j SYNFLOOD

17. Prevent Ping Flood ATTACK (New Chain:PING)

iptables -N PING

iptables -A PING -p icmp --icmp-type echo-request -m limit --limit 1/s -j RETURN

iptables -A PING -p icmp -j LOG --log-level alert

iptables -A PING -p icmp -j REJECT

iptables -A INPUT -p icmp --icmp-type echo-request -m state --state NEW -j PING

18. SYN相關設定

sysctl -a | grep syn

vim /etc/sysctl.conf

net.ipv4.tcp_fin_timeout=10:減少處於FIN_WAIT2連接狀態時間

net.ipv4.tcp_keepalive_time=1800:減少TCP KeepAlive連接偵測時間

net.ipv4.tcp_window_scaling=0

net.ipv4.tcp_sack=0

net.ipv4.tcp_tw_recycle=1:表示開啟TCP連接中TIME_WAIT sockets的快速回收。默認為0,表示關閉

net.ipv4.tcp_tw_reuse=1:表示開啟重用,允許將TIME_WAIT sockets重新用於新的TCP連接

net.ipv4.tcp_timestamps=1

net.ipv4.tcp_max_syn_backlog=4096:SYN隊列的長度

net.ipv4.tcp_syncookies=1:打開SYN Cookie,可防止部分攻擊

net.ipv4.tcp_synack_retries=1:定義SYNACK重試次數

net.ipv4.tcp_syn_retries=5:加大SYN隊列長度可容納更多等待連接的網路連接數

fs.quota.syncs=23

net.ipv4.conf.default.rp_filter=1

net.ipv4.conf.all.rp_filter=1

net.ipv4.conf.default.accept_source_route=0

net.ipv4.conf.all.accept_source_route=0

net.ipv4.ip_contrack_max=524288

net.ipv4.netfilter.ip_conntrack_max=524288

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=5

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent=15

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=108000

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=3

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=3

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=3

sysctl -p /etc/sysctl.conf:套用更改過的sysctl.conf

註:上列有些參數不需要設定,或是數字可調整,依伺服器狀況而定。

19. 查詢目前各狀態連接數狀況

netstat -nat | awk '{print awk $NF}' | sort | uniq -c | sort -n

20. 查詢並自動封鎖目前連線數最大的前50個IP(請小心謹慎並記得調整Iptables Chain)

netstat -na | grep :80 |awk '{print $5}'|awk -F '::ffff:' '{print $2}' | grep ':'

| awk -F: '{print $1}' | sort | uniq -c | sort -r | awk -F' ' '{if ($1 > 50) print $2}'

| sed 's/^.*$/iptables -I firewall 1 -p tcp -s & --dport 80 --syn -j REJECT/' | sh

21. 增加例外白名單IP(我沒測試過)

netstat -na | grep :80 |awk '{print $5}'|awk -F '::ffff:' '{print $2}' | grep ':'

| awk -F: '{print $1}' | sort | uniq -c | sort -r | awk -F' ' '{if ($1 > 50) print $2}'

| grep -v xxx.xxx.xxx.xxx

| sed 's/^.*$/iptables -I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s & --dport 80 --syn -j REJECT/' | sh

22. 查詢port 80目前的IP連接數

netstat -nat | grep ":80" | awk '{printf "%s %s\n", $5, $6}' | awk -F: '{print $1}' | sort | uniq -c | sort -n

Iptables網路連線限制及攻擊防護和相關設定的更多相关文章

  1. 第五章、 Linux 常用網路指令

    http://linux.vbird.org/linux_server/0140networkcommand.php     第五章. Linux 常用網路指令 切換解析度為 800x600 最近更新 ...

  2. 使用 WebClient 來存取 GET,POST,PUT,DELETE,PATCH 網路資源

    WebClient 基本資訊 提供通用方法使用 WebRequest 類別傳送及接收 URI (支援 http:, https:, ftp:,和 file: ) 的資源 Namespace:Syste ...

  3. web攻擊

    一.dos攻擊 向服務器發送數量龐大的合法數據,讓服務器分不清是不是正常請求,導致服務器接收所有的請求.海量的數據請求會使得服務器停止服務和拒絕服務. 防禦:阿里云或其它資源服務器有專門web應用防火 ...

  4. NB實體連線到公司的網路,無法上網解決方案,需設 proxy。

    未使用 VPN Cisco Anyconnect 已連線到公司的網路: google-chrome-stable --proxy-server="proxy.XXXcomm.com:3128 ...

  5. 在 Windows 上遇到非常多 TIME_WAIT 連線時應如何處理

        我們公司所代管的網站裡,有幾個流量是非常大的,在尖峰的時刻同時上線人數可能高達數千到數萬人,而在這個時候如果使用 netstat 或 TCPView 查看所有 TCP 連線時就會看到非常多處於 ...

  6. [Xamarin] 透過WebClient跟網路取得資料 (转帖)

    之前寫過一篇文章,關於在Android上面取得資料 透過GET方式傳資料給Server(含解決中文編碼問題) 我們來回顧一下 Android 端的Code: 有沒有超多,如果是在Xaramin下面,真 ...

  7. Nmap 網路診斷工具基本使用技巧與教學

    Nmap 是一個開放原始碼的網路掃描與探測工具,可以讓網路管理者掃描整個子網域或主機的連接埠等,功能非常強大. Nmap(Network Mapper)是一個開放原始碼的網路檢測工具,它的功能非常強大 ...

  8. 新購電腦筆記 - G1.Sniper B7 內建網路晶片在 Mint 17.2(Cinnamon)上無法使用(已解決)

    又好久沒寫文章了,這次因新購電腦,有一些狀況,故做一下記錄,也分享給遇到同樣問題的格友 以前在公司裝 Ubuntu 從沒遇過這麼多問題,這次自己第一次組電腦,也第一次裝 Mint,問題倒是不少 第一個 ...

  9. Ubuntu 14 設定 遠端連線,讓別台電腦可以連線進來

    Ubuntu 14 需 disable 加密,方可 遠端連線 此台電腦 xxx@xxx-ThinkPad-T460p:~$ gsettings set org.gnome.Vino require-e ...

随机推荐

  1. 解决android锁屏或解锁后activity重启的问题

    If your target build version is Honeycomb 3.2 (API Level 13) or higher you must put the screenSize f ...

  2. https://hub.docker.com/

  3. passwnger

    环境:ubuntu10.04 + nginx + passenger + ruby1.8.7 rails2.3.x #安装nginx(手动编译) $  mkdir -p /home/mouse/opt ...

  4. storm的特性

    storm的特性 Storm 是一个开源的分布式实时计算系统,可以简单.可靠地处理大量的数据流. Storm支持水平扩展,具有高容错性,保证每个消息都会得到处理,而且处理速度很快(在一个小集群中,每个 ...

  5. A Tour of Go Variables with initializers

    A var declaration can include initializers, one per variable. If an initializer is present, the type ...

  6. Python队列服务 Python RQ Functions from the __main__ module cannot be processed by workers.

    在使用Python队列服务 Python RQ 时候的报错: Functions from the __main__ module cannot be processed by workers. 原因 ...

  7. [USACO08JAN]电话线Telephone Lines

    多年以后,笨笨长大了,成为了电话线布置师.由于地震使得某市的电话线全部损坏,笨笨是负责接到震中市的负责人.该市周围分布着N(1<=N<=1000)根据1……n顺序编号的废弃的电话线杆,任意 ...

  8. Redis集群方案应该怎么做

    方案1:Redis官方集群方案 Redis Cluster Redis Cluster是一种服务器sharding分片技术.Redis Cluster集群如何搭建请参考我的另一篇博文:http://w ...

  9. HTTPResponse.read([amt]):只能read一次

    业务需要:我要写个tanx模拟器,给DSP发竞价请求. 下面是部分代码: def PostDataToDSP(self,url,postdata): headers = { 'Content-Type ...

  10. JavaScript实现竖直文本滚动

    一.HTML代码 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://ww ...