linux 抗ddos添加防火墙脚本写法
时间: 2023-07-14 20:03:39 浏览: 164
在Linux中,可以使用iptables来配置防火墙规则来抵御DDoS攻击。以下是一个简单的示例脚本,用于添加防火墙规则以防御DDoS攻击:
```bash
#!/bin/bash
# 清空现有的防火墙规则
iptables -F
# 设置默认策略:拒绝所有流量
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# 允许回环接口的流量
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# 允许已建立的和相关的连接通过
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 允许SSH访问(根据需要开启)
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 允许HTTP和HTTPS访问(根据需要开启)
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# 添加其他针对DDoS攻击的规则
# 例如限制SYN包数量
# iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
# 其他防御规则可以根据具体需求进行添加
# 打印防火墙规则
iptables -L -v
# 保存防火墙规则
iptables-save > /etc/iptables/rules.v4
```
以上脚本首先清空现有的防火墙规则,然后设置默认策略为拒绝所有流量。接下来,允许回环接口的流量和已建立的、相关的连接通过。你可以根据需要开放其他端口,如SSH(端口22)、HTTP(端口80)、HTTPS(端口443)等。
最后,可以添加其他针对DDoS攻击的规则,例如限制SYN包数量。你可以根据具体需求添加其他防御规则。
请注意,在使用该脚本之前,请确保你理解每个规则的含义,并根据实际情况进行修改和优化。同时,建议在测试环境中先进行测试,确保防火墙规则不会对正常流量产生影响。
阅读全文