毛明的博客

一：用到的软件包有：openvpn,lzo

#  openvpn     wget  http://swupdate.openvpn.net/as/openvpn-as-1.5.6-CentOS5.i386.rpm

# 

W2003_电脑1

W2003电脑2

W2003群组1

w2003

http://www.hmelyoff.com/rtmptest/

#SYN-Flooding Protection

#Create syn-flood chain for detecting Denial of Service attacks

iptables -N syn-flood

iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood

#Limit 12 connections per second(burst to 24)

iptables -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN

iptables -A syn-flood -j DROP

iptables 防火墙

例子
 
 
 
#!/bin/bash
 #
 # The interface that connect Internet
 
# echo
 echo 'Enable IP Forwarding...'
 echo 1 > /proc/sys/net/ipv4/ip_forward
 echo 'Starting iptables rules...'
 
IFACE='eth0'
 
# include module
 modprobe ip_tables
 modprobe iptable_nat
 modprobe ip_nat_ftp
 modprobe ip_nat_irc
 modprobe ip_conntrack
 modprobe ip_conntrack_ftp
 modprobe ip_conntrack_irc
 modprobe ipt_MASQUERADE
 

# init
 /sbin/iptables -F
/sbin/iptables -X
 /sbin/iptables -Z
 /sbin/iptables -F -t nat
 /sbin/iptables -X -t nat
 /sbin/iptables -Z -t nat
 
/sbin/iptables -X -t mangle
 
# drop all

#####################################################
 
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT

-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j

ACCEPT

-A INPUT -p udp -m udp --dport 138 -j DROP

-A INPUT -p udp -m udp --dport 137 -j DROP

-A INPUT -p tcp -m tcp --dport 1068 -j DROP

-A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j DROP

-A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200

-j ACCEPT

-A FORWARD -p tcp -m tcp --dport 445 -j DROP

-A FORWARD -p udp -m udp --dport 138 -j DROP

-A FORWARD -p udp -m udp --dport 137 -j DROP

-A FORWARD -p tcp -m tcp --dport 1068 -j DROP

-A FORWARD -p tcp -m tcp --dport 5554 -j DROP

-A FORWARD -p icmp -j DROP

:PREROUTI

配置防火墙防止syn，ddos攻击
 [root@m176com ~]# vim /etc/sysconfig/iptables
 在iptables中加入下面几行
 #anti syn，ddos
 -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
 -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
 -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
 
说明：
 第一行：每秒中最多允许5个新连接
 第二行：防止各种端口扫描
第三行：Ping洪水攻击（Ping of Death）
 可以根据需要调整或关闭
 
重启防火墙
 [root@m176com ~]# /etc/init.d/iptables restart
 
屏蔽一个IP
 # iptables -I INPUT -s 192.168.0.1 -j DROP
 
怎么防止别人ping我？？
 # iptables -A INPUT -p icmp -j DROP
 
 
防止同步包洪水（Sync Flood）

应用场景：

假设有A、B、C三台设备，A<==>B可以互相访问，B<==>C可以互相访问，A和C不能直接访问，在C上安装了Oracle数据库,如何实现A可以访问C的数据库呢？

基本思路：

第一反应是在B上搭建个代理，A配置访问代理后，可以通过B跳转访问C，但是平时连接Oracle用的客户端是PLSQL，从我抓包的情况看，PLSQL和数据库通信通过tcp和tns两个协议，tcp协议的代理好解决，而tns协议的代理就不是那么简单实现了。既然这条路不通，只能换一角度寻找解决办法，想到我们一般项目里都是通过JDBC访问数据库的，所以我们也可利用JDBC的原理，通过tcp访问避开tns即可。推荐一个客户端工具：SQuirreL SQL Client（http://squirrel-sql.sourceforge.net）它非常方便的，同时能连接目前市面上的大多数数据库，只需要在B上能实现tcp的转发即可实现A访问C的数据库了，同时想到linux下iptables就可以实现简单ip包的端口转发，下面就给出具体

cd /etc/sysconfig/
cp iptables iptables-lng
echo 'mv iptables-lng iptables && service iptables restart' |at now+5min
service iptables restart 

atq查询任务

关闭任务

atrm 任务号码