带脚镣跳舞
iptables问题
iptables新手 看到一个防止DDOS的规则,有一些疑问
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
sysctl -w net.ipv4.icmp_echo_ignore_all=1
echo "1" >; /proc/sys/net/ipv4/tcp_syncookies
[!] --syn
Only match TCP packets with the SYN bit set and the ACK and RST
bits cleared. Such packets are used to request TCP connection
initiation; for example, blocking such packets coming in an
interface will prevent incoming TCP connections, but outgoing
TCP connections will be unaffected. It is equivalent to --tcp-
flags SYN,RST,ACK SYN. If the "!" flag precedes the "--syn",
the sense of the option is inverted.
是不是 -p tcp --* 这个后面只能是syn rst ack
那fin urg push 这些就不能过滤了???
第2行的动作怎么是syn-flood了(syn-flood是创建的新链) 有点看不明白
下面这个return动作又是干什么的
返回COOKIES过的数据包?
请XDJM们解释下
platinum
这个方法没用,这样做的话正常连接也无法访问了