使用Debian的iptables来防止DDoS(分布式拒绝服务)攻击,可以通过设置一系列规则来限制网络流量和连接数。以下是一些基本的步骤和策略:
首先,确保你的Debian系统是最新的:
sudo apt update && sudo apt upgrade -y
大多数Debian系统默认已经安装了iptables,但如果没有,可以使用以下命令安装:
sudo apt install iptables -y
确保允许必要的流量,例如SSH(默认端口22)、HTTP(默认端口80)和HTTPS(默认端口443):
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT
限制每个IP地址的并发连接数,以防止DDoS攻击:
sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 50 -j DROP
这条规则会丢弃来自单个IP地址的超过50个并发SYN请求。
使用limit模块来限制每秒的连接数:
sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
sudo iptables -A INPUT -p tcp --syn -j DROP
这条规则会限制每秒最多接受1个SYN请求。
iptables规则在系统重启后会丢失,因此需要保存规则:
sudo sh -c "iptables-save > /etc/iptables/rules.v4"
为了确保规则在系统重启后仍然有效,可以设置iptables开机自启动:
sudo systemctl enable netfilter-persistent
sudo systemctl start netfilter-persistent
定期监控网络流量和iptables日志,根据实际情况调整规则。可以使用iptables -L -v -n命令查看当前的iptables规则和统计信息。
通过以上步骤,你可以使用Debian的iptables来增强系统的安全性,减少DDoS攻击的影响。