sblive
发表于 2005-1-21 12:26:52
iptables -A INPUT -i $IF_INET -j DROP will block syn on anything the is not forward to the lan. The purpose of forwarding is to allow the syn flag as well as others which make up the the match state NEW.这是别人回答的,有人解释一下吗?
DreamCat
发表于 2005-1-21 14:20:16
这个贴子应该发到 iptables 版块。你的问题在那里的文章里能找到答案的。iptables -A INPUT -i $IF_INET -j DROP 是对 $IF_NET 这个接口的INPUT链操作,全部 DROP也就是不接收任何输入封包。因为只有两个方向 输入 和 转发(输出就不考虑了),所以只剩下 转发。对NAT;路由器的DDOS攻击也就无效了。个人认为,即使路由器没问题了,但是对方攻击所发来的封包仍然要占用带宽,归根结底,拼的还是带宽。此外单纯的对输入链处理还是不够,如果你网内有对外开放的服务器,这个服务器仍然可以受到攻击。
jk0wg
发表于 2005-1-24 12:57:20
DDOS的最好的解决办法是加大带宽和提高服务器的处理能力.. 但这样一来.. 所花的代价就太大了... 穷人是没办法这么做的...
页:
[1]