alonso wrote:
Hola a [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>, necesito ayuda urgentemente ya estoy
desesperado no se que hacer, haber si alguien me puede ayudar.
Tengo un gran problema por lo que estoy viendo en mi servidor web me
estan haciendo un ataque de tcp syn flooding que hace que me sature la
red y no me funcione nada de nada.
Tengo el iptables con las siguientes reglas para evitar esto, pero ahora
el problema es que con estas reglas ni si quiera me sirve las webs no se
que es lo que estoy haciendo mal.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# flush rules
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# anti-SYN flood
iptables -N no-syn-flood
iptables -A no-syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A no-syn-flood -j DROP
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 22
# drop everything else
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
No me da servicio y al puerto 80 ni el 22. Haber si alguien me puede
ayudar ya que estoy desesperado.
Gracias y Saludos.
Hola Alonso,
no estoy puesto al 100% ni siquiera al 50%. De hecho configuré mi
firewall hace unas semanas... me funciona aunque no he sido tan
"intrasigente" como tu.
Tengo un par se sugerencias:
1. quizá no sea necesario cerrar absolutamente a cal y canto. Yo solo
negué todas las INPUT ...
2. en cuanto a la regla del 80, -j ACCEPT es la acción y va al final (no
he probado de otra manera)
3. respecto a la regla del 22, podías ser más explícito; si cierras
todo, no abrás sshd a "todos":
iptables -A INPUT -p tcp -m tcp -s xx.xx.xx.0 --dport 22 -j ACCEPT
(por ejemplo para aceptar cualquier conexxión desde una determinada
subred. Igual para un equipo o una MAC)
En cualquier caso aquí tienes una buena referencia. Échale un vistazo
http://www.pello.info/filez/IPTABLES_en_21_segundos.html
Suerte.
Un saludo.
frn.
