linux 防DDOS防火墙脚本

vi /usr/src/iptables-ddos.sh

echo "/bin/sh /usr/src/iptables-ddos.sh" >> /etc/rc.local

脚本如下：

#!/bin/bash

modprobe ipt_recent ip_list_hash_size=0 ip_list_tot=16384 ip_pkt_list_tot=200

iptables -F SYN_FLOODING

iptables -X SYN_FLOODING

iptables -N SYN_FLOODING

iptables -t filter -F

iptables -A INPUT -i eth0 -m state --state INVALID -j DROP

iptables -A INPUT -p all -m state --state ESTABLISHE,RELATED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --syn -m multiport --dports 80,443 -m limit --limit 1/m --limit-burst 300 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --syn -m multiport --dports 80,443 -j SYN_FLOODING

iptables -A SYN_FLOODING -i eth0 -p tcp --syn -m multiport --dports 80,443 -m recent --name SYN_FLOOD --update --second 120 --hitcount 1 -j ACCEPT

iptables -A SYN_FLOODING -i eth0 -p tcp --syn -m multiport --dports 80,443 -m recent --name SYN_FLOOD --set

iptables -A SYN_FLOODING -i eth0 -p tcp --syn -m multiport --dports 80,443 -j DROP

#linux DDOS

echo 2 > /proc/sys/net/ipv4/tcp_syn_retries

echo 2 > /proc/sys/net/ipv4/tcp_synack_retries

echo 2048 > /proc/sys/net/ipv4/tcp_max_syn_backlog

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#禁止连续ping

iptables -A INPUT -p icmp --icmp-type 8 -m recent --name icmp_db --update --second 60 --hitcount 6 -j DROP

iptables -A INPUT -p icmp --icmp-type 8 -m recent --name icmp_db --set

#防止扫描端口(包含过滤连续ping功能,所以禁止ping要放在前面)

iptables -A INPUT -p all -m state --state NEW -m recent --name port_scan --update --seconds 1800 --hitcount 10 -j DROP

iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 22122,80,7777,1723 -j ACCEPT

iptables -A INPUT -p all -m recent --name port_scan --set

# ip 欺骗防护

iptables -A INPUT -i ! lo -s 127.0.0.0/8 -j DROP

iptables -A INPUT -p all -s 10.254.0.0/24 -j ACCEPT

iptables -A INPUT -p all -s 10.0.0.0/8 -j DROP

iptables -A INPUT -p all -s 172.16.0.0/12 -j DROP

iptables -A INPUT -p all -s 192.168.0.0/16 -j DROP

iptables -A INPUT -p ! udp -s 224.0.0.0/4 -j DROP

for i in /proc/sys/net/ipv4/conf/*/rp_filter; do

echo 1 > $i

done

转载于:https://blog.51cto.com/sookk8/530589

linux 防DDOS防火墙脚本相关推荐

linux防ddos攻击脚本,Linux系统防止DDOS攻击脚本
chmod +x install.sh ./install.sh 安装结束后,配置主配文件 ddos.conf ##### Paths of the script and other files PR ...
linux防ddos攻击脚本,Linux IPTables防DDOS攻击Shell脚本
1.Shell脚本 #!/bin/bash /bin/netstat -na |grep ESTABLISHED |awk '{print $5}' |awk -F : '{print $1}' | ...
html5 防止脚本攻击,shell防ddos攻击脚本(二)
在上一篇shell防ddos攻击脚本(一)中,我给大家发了个脚本,那只是针对单机的,如果是在负载均衡下的话,很容易把自己的服务器ip给误封,所以这篇文章就给大家发个可以添加白名单的shell脚本. 系 ...
linux 防ddos攻击软件,linux系统下免费防DDOS CC攻击脚本，有效减轻服务器压力【转】...
网站DDOS是最头疼的事.即使是国内高防的服务器,也不能100%彻底解决CC,DDOS攻击,在没有硬防的情况下,寻找软件代替是最直接的方法,比如用iptables,但是iptables不能在自动屏蔽, ...
linux防ddos 软件下载,linux下防DDOS工具
DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本.它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限制时,该程序会通过APF或IPTABLES禁 ...
linux防ddos 软件下载,linux系统防ddos攻击工具
DDoS deflate其实非常简单,下面是详细的安装和配置步骤: 1.安装 DDoS deflate wget http://www.inetbase.com/scripts/ddos/instal ...
php shell ddos,shell防ddos攻击脚本(一)
最近服务器经常受到攻击,并且还大多数是晚上,实在是受不了晚上起来处理,直接从网上搜了个写得不错的shell封ddos脚本,这个脚本是老外写的,我觉得效果还不错,发给大家看看吧. 系统:centos 5 ...
Linux防CC攻击脚本
多数CC攻击在web服务器日志中都有相同攻击的特征,我们可以根据这些特征过滤出攻击的ip,利用iptables来阻止 #!/bin/bash #by LinuxEye #BLOG: http://bl ...
linux下防DDOS***软件及使用方法详解
互联网如同现实社会一样充满钩心斗角,网站被DDOS也成为站长最头疼的事.在没有硬防的情况下,寻找软件代替是最直接的方法,比如用 iptables,但是iptables不能在自动屏蔽,只能手动屏蔽. 一 ...
linux下防DDOS攻击软件及使用方法详解
互联网如同现实社会一样充满钩心斗角,网站被DDOS也成为站长最头疼的事.在没有硬防的情况下,寻找软件代替是最直接的方法,比如用 iptables,但是iptables不能在自动屏蔽,只能手动屏蔽. 一 ...

linux 防DDOS防火墙脚本

linux 防DDOS防火墙脚本相关推荐

最新文章

热门文章