LINUX预防PHPDDOS的iptables规则

PHPDDOS的iptables规则

 代码如下 复制代码

iptables -I OUTPUT -p udp --dport 53 -d 202.103.44.150 -j ACCEPT
 
iptables -I OUTPUT -p udp --dport 53 -d 202.103.24.68 -j ACCEPT
 
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 202.103.44.150 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 202.103.24.68 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 202.103.44.150 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 202.103.24.68 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A OUTPUT -p udp -j REJECT
 
/etc/rc.d/init.d/iptables save

解决对外udp攻击

以下教您通过改变一些linux服务器及php的安全的设置,来禁止挂马后成为ddos攻击源

1.php.ini禁掉php调用系统的exec之类的参数
在php.ini中加入如下一行

 

 代码如下 复制代码

disable_functions=symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,

escapeshellarg,escapeshellcmd

2.禁止服务器的ouput发udp包(除本机设置的域名解析服务器)

 

 代码如下 复制代码
#!/bin/sh
NSIP=`cat /etc/resolv.conf |grep nameserver |awk ‘NR==1{print $2 }’`
/sbin/iptables -A OUTPUT -p udp -j DROP
/sbin/iptables -I OUTPUT -p udp –dport 53 -d $NSIP -j ACCEPT

如果是tcp协议的话,可以用下面一段iptables:

 代码如下 复制代码
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j DROP
时间: 2024-11-03 09:11:40

LINUX预防PHPDDOS的iptables规则的相关文章

Linux如何清空所有iptables规则

  linux下清空iptables规则具体方法如下: iptables -t nat -F iptables -t nat -X iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t mangle -F iptables -t mangle -X iptables -t mangle -P PREROUTING

构建高安全电子商务网站:Linux服务器iptables规则列表全攻略

服务器的安全性,一直是网站的首要考虑的任务.针对安全性有多种多样的解决方案.Linux服务器防火墙,最常用到的当然要数iptables防火墙.iptables是Linux上常用的防火墙软件,规则也非常灵活,应该最广泛. 对应要构建高安全电子商务网站,任何一台服务器少不了的安全软件,当然是iptables防火墙.规则灵活多变,功能应该之广泛,这个也是Linux系统管理员首选.iptables表链中每条规则的顺序很重要,如果首条是accept all,那末所有的数据包都会被允许通过firewall,

linux防火墙基础知识以及如何管理设置iptables规则

一.linux防火墙基础 防火墙分为硬件防火墙和软件防火墙. 1.概述 linux 防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙. 包过滤机制:netfilter 管理防火墙规则命令工具:iptables netfilter 指linux内核中实现包过滤防火墙的内部结构,不依程序或文件的形式存在,属于"内核态"的防火墙功能体系 iptables 指管理linux防火墙的命令工具,属于"用户态"的防火墙管理体系 2.ipta

linux系统中查看己设置iptables规则

iptables是一个强大的Linux防火墙,使用频率极高.本文介绍如何查看iptables规则设置. 1.iptables -L 查看filter表的iptables规则,包括所有的链.filter表包含INPUT.OUTPUT.FORWARD三个规则链. 说明:-L是--list的简写,作用是列出规则. 2.iptables -L [-t 表名] 只查看某个表的中的规则. 说明:表名一个有三个:filter,nat,mangle,如果没有指定表名,则默认查看filter表的规则列表(就相当于

防火墙-linux主机配置了iptables,主机主动访问外部主机没问题,但是回包被iptables拦截了

问题描述 linux主机配置了iptables,主机主动访问外部主机没问题,但是回包被iptables拦截了 操作系统:Red Hat Enterprise Linux Server release 6.2 (Santiago) 现状:主机A开启了iptables,只对filter表的INPUT链做了策略,OUT链默认是全放通. 问题:发现主机A访问防火墙外部的主机B,包可以到达主机B,但是主机B的回包被主机A的iptables拦截了,导致TCP连接无法建立.网上查找到一些方法,想利用iptab

linux平台下防火墙iptables原理(转)

原文地址:http://www.cnblogs.com/ggjucheng/archive/2012/08/19/2646466.html iptables简介     netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤.封包重定向和网络地址转换(NAT)等功能. iptables基础     规则(rules)其实就是网络管理员预定义的条件,规

iptables规则配置 增加、删除和修改命令

介绍 iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统.如果 Linux 系统连接到因特网或 LAN.服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置. Iptables命令的管理控制选项 -A(append) 在指定链的末尾添加一条新的规则 -I (insert)在指定链中插入一条新规则,为指明插入位置 -D(delete)删除制定链里的某条规则 -R (replace)修改.替换

linux中centOS防火墙iptables的设置教程

  1.安装iptables防火墙 怎么知道系统是否安装了iptables?执行iptables -V,如果显示如: iptables v1.3.5 说明已经安装了iptables. 如果没有安装iptables需要先安装,执行: yum install iptables 在Linux中设置防火墙,以CentOS为例,打开iptables的配置文件: vi /etc/sysconfig/iptables   通过/etc/init.d/iptables status命令查询是否有打开80端口,如

shell监控iptables规则是否改变

系统:centos 5.x 脚本内容:  代码如下 复制代码 #!/bin/bash if [ ! -f .count ];then   iptables -L -n|md5sum|awk '{print $1}' > ~/.count   exit 1 else   iptables -L -n|md5sum|awk '{print $1}' >~/1.txt   difffile=`diff ~/.count ~/1.txt|wc -l`   if [[ $difffile = 0 ]];