iptablesを使用したDDOS防御

iptablesを使用したDDOS防御

私は多くのゲームサーバーを含むDebian 6サーバーを持っていますが、残念ながらこのサーバーにはまっていません。サーバーを安全に保護するために強力なファイアウォールを構築したいと思います。

答え1

次の iptables ルールを使用します。

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -j REJECT

最初のルールは、接続追跡モジュールによって割り当てられたステータスを確認して、要求された着信トラフィックを受け入れます。ステータスが次の場合、パケットは許可されます。

ESTABLISHED(ファイアウォールが以前に許可することを決定した既存の接続の一部を構成するパケット)またはRELATED(新しい接続を開始するが既存の接続に関連することが知られているパケット)。

ICMP(2番目の規則)は、すべてのホストがサポートする必要があるインターネットプロトコルの不可欠な部分であるため、ここでは特別なケースです。 ICMP をブロックするとセキュリティ上のメリットがありますが、ほとんどの場合、潜在的な攻撃者よりも正当なユーザーや管理者に大きな不便を招く可能性があります。したがって、ここで説明されている方法は、トラフィックが望ましくない場合でもインバウンドICMPトラフィックを許可します。

3 番目のルールは、ループバック インターフェイスのすべてのトラフィックを許可します。ループバックインターフェイスを介して受信されたすべてのトラフィックはローカルシステムで開始する必要があるため、(とにかく)ローカルシステムから要求する必要があります。

関連情報