问基于iptable的DDOS防御

EN

使用这些iptable规则：

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -j REJECT

第一条规则通过检查由连接跟踪模块分配的状态接受请求的入站通信量。当状态为：

已建立(构成防火墙先前决定允许的现有连接的一部分的数据包)或相关(将启动新连接但已知与现有连接相关的数据包)。

这里的ICMP (第2条规则)是一个特例，因为它是所有主机都应该支持的Internet协议的一个组成部分。可以说，阻止ICMP提供了一些小的安全好处，但是在大多数情况下，这可能会给合法用户和管理员带来比对潜在攻击者更大的不便。因此，这里描述的方法允许入站ICMP通信，即使它是主动请求的。

第三条规则接受环回接口中的所有通信量。通过回环接口接收的任何通信都必须起源于本地机器，因此(通过某种方式)它必须是由本地机器请求的。