怎么配置iptables防止syn ddos ping攻击

netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

配置防火墙防止syn，ddos攻击

[root@m176com ~]# vim /etc/sysconfig/iptables在iptables中加入下面几行#anti syn，ddos-A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

说明：第一行：每秒中最多允许5个新连接。第二行：防止各种端口扫描。第三行：Ping洪水攻击（Ping of Death），可以根据需要调整或关闭

重启防火墙

 [root@m176com ~]# /etc/init.d/iptables restart

屏蔽一个IP

 # iptables -I INPUT -s 192.168.0.1 -j DROP

怎么防止别人ping我？？

# iptables -A INPUT -p icmp -j DROP

防止同步包洪水（Sync Flood）

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPTNMAP FIN/URG/PSH# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROPXmas Tree# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROPAnother Xmas Tree# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROPNull Scan(possibly)iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROPSYN/RST# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROPSYN/FIN -- Scan(possibly)# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

限制对内部封包的发送速度

 #iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

限制建立联机的转

 #iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT