您好:
我是四川1个做游戏的,会linux时间不长,最近2天发现游戏模拟器上
狂刷连接造成负担重,以前我用windows架设游戏也遇到过,然后购买
的正版冰盾防火墙可以解决CC一类的攻击效果不错.
因为linux我真的很喜欢,所以不能安装防火墙等软件做防御.遇到CC类
攻击我是只能看着...我一直在努力学习linux功底不够,如果哪位版友
在RedHat Enterprise Linux 5修改配置达到以下标准,我愿意付
500元辛苦费!可以做到的加我QQ:289880888.
谢谢了,我1个人在四川这里真的无助了,地震没死都很幸运了,没想到
有的垃圾就给你QQ发消息说没零花钱了,请高手帮我555.....
<1>1个IP最多和我服务器建立10个连接.
<2>连接率控制:1个IP 5秒内最多只能跟我服务器建立10个连接.
<3>禁止80代理访问服务器.
一旦该IP超过限制直接屏蔽决绝访问.
abcyoumayu 于 2009-04-07 19:19:53发表:
高手。。。。。。
yujie870217 于 2009-04-06 00:55:31发表:
呵呵 三楼的方法可能解决一些问题,先清除原来的防火墙设置,然后写入相关的设置,并且save到iptables的文件中,只打命令不写入下次启动就没有了。最好设置host.deny.暂时叫那些攻击的代理ip无法访问
newlinuxs 于 2009-04-02 18:12:08发表:
wang7131984 您好!
您QQ没在线,我想跟你QQ详细说.
chenlong1818 于 2009-04-02 13:05:30发表:
这里的兄弟们都很热心哦
wang7131984 于 2009-04-02 10:04:12发表:
iptables 不支持connlimit的详细答复请看这个网址
http://www.chinaunix.net/jh/4/503847.html
patch-o-ng补丁的下载地址
http://linux.softpedia.com/get/System/Networking/patch-o-matic-ng-9634.shtml
wang7131984 于 2009-04-02 09:50:01发表:
转一个答复:
iptables 的模块要起作用,除了本身 /lib/iptables 目录(默认 iptables 库文件装在这里)中要有对应的 iptables 模块共享库文件外,还要保证该模块对应的内核库也存在,应该位于 /lib/modules/内核版本/kernel/net/ipv4/netfilter 目录中。fc6 自带的 iptables 有 connlimit 模块,但那只是 iptables 自己的共享库,在 /lib/iptables 目录下,文件名为 libipt_connlimit.so,但 connlimit 对应的内核模块默认却没有提供,内核模块应该位于 /lib/modules/内核版本/kernel/net/ipv4/netfilter 中,文件名为 ipt_connlimit.ko,所以只能下载 netfilter 的 patch-o-magic-ng 给内核打补丁了。
wang7131984 于 2009-04-02 09:47:25发表:
上面第第二条规则我已经给你纠正了,看我楼上的答复
第一条规则出错是因为你的内核版本太老的原因,我给你搜一下
jerry520 于 2009-04-02 09:41:17发表:
看安全板块看看.linux安全也很重要的.
newlinuxs 于 2009-04-02 03:21:02发表:
[i=s] 本帖最后由 newlinuxs 于 2009-4-2 03:22 编辑 [/i]
# iptables -A INPUT -p tcp -m connlimit --connlimit-above 10 -j REJECT
iptables: Unknown error 18446744073709551615
# iptables -A INPUT -p tcl -sport 80 -j REJECT
iptables v1.3.5: unknown protocol `tcl' specified
Try `iptables -h' or 'iptables --help' for more information.
添加这个规则出现了错误;;
wang7131984 于 2009-04-02 00:04:27发表:
有什么看不懂的。上面不写的很明白么~
备份所有iptables中的规则
清除所有iptables中的规则
禁止一切输入的ip数据包(如果你只想禁止外网的可以使用iptables -A INPUT -d 你的外网网卡的IP -j DROP)
如果每个IP地址多于10个连接就拒绝
5秒钟之内只允许同一IP发送10个SYN请求
拒绝来自80端口的一切IP数据包。(iptables -A INPUT -p tcp --sport 80 -j REJECT)
下面是对IP数据包转发进行限制,同样如果是限制外网到内网的转发要加上 -d 你的外网网卡IP
newlinuxs 于 2009-04-01 23:24:56发表:
谢谢喔,可是看不懂,我还不会 !.
wang7131984 于 2009-04-01 21:31:18发表:
定义一下iptables的规则就行了
cat iptables --list > iptables-chain.bak
iptables -F
iptables -A INPUT -j DROP
iptables -A INPUT -p tcp -m connlimit --connlimit-above 10 -j REJECT
iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 5/second --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcl -sport 80 -j REJECT
iptables -A FORWORD -j DROP
................FORWORD............
................FORWORD...........
...........................................
我对iptables不是很熟,自己试试看吧
ntsiase 于 2009-04-01 20:31:17发表:
为何不装呢,看自带的有没有,打开一下有没有能防