-
iptables学习
1.iptables简介:
防火墙可以分为主机防火墙和网络防火墙,主机防火墙是对单个主机进行防护,网络防火墙是对其背后的局域网进行防护。
防火墙也可以分为硬件防火墙和软件防火墙,硬件防火墙贵好用,软件防火墙便宜,性能差。
1)mangle
2)filter表
iptables -t filter -L -n
iptables -t filter -A output -j DROP -p tcp -d 目的地址
3)nat表
iptables -t nat -L
a) pre:
b)post:
2.iptables应用:
2.1 iptables可以用来降低syn攻击的危害
1)修改等待数:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
2)启用syncookies:
sysctl -w net.ipv4.tcp_syncookies=1
3)修改重试次数:
sysctl -w net.ipv4.tcp_syn_retries = 0
重传次数设置为0,只要收不到客户端的响应,立即丢弃该连接,默认设置为5次4)限制单IP并发数:
使用iptables限制单个地址的并发连接数量
iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT5)限制C类子网并发数:
使用iptables限制单个c类子网的并发链接数量:
iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 24 -j REJECT6)限制单位时间内的连接数:
iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --set
iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --update -- seconds 60 --hitcount 30 -j DROP7)修改/etc/modprobe.conf,记录n个ip地址,对每个地址的包的数量进行限制:
options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60
作用:记录10000个地址,每个地址60个包,ip_list_tot最大为8100,超过这个 数值会导致iptables错误8)限制单个地址最大连接数:
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j D
-
相关阅读:
OpenCV12-图像卷积
软件流程和管理(二):Agile
DDoS攻击频发,科普防御DDoS攻击的几大有效方法
JavaScript构造函数和原型:继承
cesium相机视角跳转和缩放至entity方法汇总
Acwing算法基础【1】基础(三)前缀和与差分
JWT的无限可能性:它如何在身份验证、单点登录、API安全等领域发挥作用
matlab——simulink学习(四)
合规合规,合规法规的挑战与解决方案
什么是隧道代理,要怎么用?| 实用教程
- 原文地址:https://blog.csdn.net/qq_41555580/article/details/126269630