Linux 通过Iptalbes禁止PHPDDOS发包

林继 VPS 知识 1,868 共写了425个字 (2012-06-12 23:58:47) 没有评论 打印 扫描二维码 百度已收录

在网上又淘到一段IPTABLES的防火墙设置方案,大家也可以用这个,将下面代码每一行复制到SSH中执行一次。用这个防火墙规则,就无须再改动php.ini了。我测试成功,可以防止UDP类的PHP-DDOS木马对外攻击,黑客的攻击工具会显示对外发包攻击成功,但是实际上这些包都会被iptable防火墙给过滤掉,不会对外攻击了。

  1. #iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
  2. #iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
  3. #iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 8.8.4.4 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
  4. #iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 8.8.8.8 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
  5. #iptables -A OUTPUT -p udp -j REJECT
  6. #/etc/rc.d/init.d/iptables save
  7. # service iptables restart
  8. #chkconfig iptables on

开放 对外 以及对内的 DNS端口 53
禁止其他全部出站的UDP 协议
开机启动iptables

另外要说明的是,上面的代码是因为我服务器使用的是谷歌的DNS来解析,我服务器端对外的访问(在服务器端上网,就需要,如果只是单纯的服务器,不进行yum安装也可以不用),因此我开放对8.8.4.4和8.8.8.8的访问,如果你不是设置为谷歌的DNS,那么这里要自行修改成你的DNS。使用的DNS是什么可以用下面方法查询
#cat /etc/resolv.conf |grep nameserver

如果觉得我的文章对您有用,请随意赞赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

< >