centos7 防ddos防火墙设置
时间: 2023-08-30 17:05:07 浏览: 166
安全加固 - 安全技术资料汇总(共1份).zip
1. 安装iptables防火墙
在CentOS 7上默认安装了firewalld作为防火墙,但是我们可以选择安装iptables防火墙来防止DDoS攻击。首先,安装iptables:
```
yum install -y iptables-services
```
2. 禁用firewalld
禁用firewalld服务并启用iptables:
```
systemctl stop firewalld
systemctl disable firewalld
systemctl start iptables
systemctl enable iptables
```
3. 设置iptables规则
为了防止DDoS攻击,我们需要设置iptables规则。以下是一些常见的规则:
- 禁用ICMP
```
iptables -A INPUT -p icmp -j DROP
```
- 禁用SYN Flood攻击
```
iptables -N syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
iptables -I INPUT -p tcp --syn -j syn_flood
```
- 限制HTTP连接数
```
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
```
- 限制单个IP连接数
```
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT
```
- 拒绝非法IP连接
```
iptables -A INPUT -s 0.0.0.0/8 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -j DROP
iptables -A INPUT -s 169.254.0.0/16 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -s 192.0.2.0/24 -j DROP
iptables -A INPUT -s 192.168.0.0/16 -j DROP
iptables -A INPUT -s 198.18.0.0/15 -j DROP
iptables -A INPUT -s 224.0.0.0/4 -j DROP
iptables -A INPUT -d 224.0.0.0/4 -j DROP
iptables -A INPUT -s 240.0.0.0/5 -j DROP
iptables -A INPUT -d 240.0.0.0/5 -j DROP
iptables -A INPUT -s 248.0.0.0/5 -j DROP
iptables -A INPUT -d 248.0.0.0/5 -j DROP
iptables -A INPUT -s 192.0.0.0/24 -j DROP
iptables -A INPUT -d 192.0.0.0/24 -j DROP
iptables -A INPUT -s 192.0.0.0/29 -j DROP
iptables -A INPUT -d 192.0.0.0/29 -j DROP
iptables -A INPUT -s 192.0.0.170/31 -j DROP
iptables -A INPUT -d 192.0.0.170/31 -j DROP
```
4. 保存规则
最后,保存iptables规则以便在系统重启后自动加载:
```
service iptables save
```
阅读全文