请问一个"曾浩峰"同学,如何加大tcp的缓存缩短timeout的时间,如何

源哥仔 · 发表于 2005-1-20 10:51:35

请问一个"曾浩峰"同学,如何加大tcp的缓存缩短timeout的时间,如何用iptables将关键的几个端口的syn封掉?

谢谢.

我以前是搞win2k server的.
还是第一次接触公司的redhat服务器.
我什么都不懂啊,还得请各位高手指点指点一下.
谢谢.

曾浩峰 · 发表于 2005-1-20 11:00:28

加大tcp缓存见我其它的帖：
http://www.linuxsir.cn/bbs/showthread.php?t=169715

iptalbes 里加：
-A INPUT -i eth0 -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

源哥仔 · 发表于 2005-1-20 11:00:45

请问曾浩峰同学,/proc/sys/net/ipv4/tcp_fin_timeout这个参数,遇到ddos攻击时,修改为多少合适呢?

源哥仔 · 发表于 2005-1-20 11:03:03

请问曾浩峰同学高高手,
iptalbes 里加：
-A INPUT -i eth0 -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

如果这样子,会不会我用ssh登陆不上机房的服务器呢?

谢谢.

曾浩峰 · 发表于 2005-1-20 11:54:08

上面两帖一块回答，1。tcp的缓存在8000以上比较合适；2，我刚才给你的iptables是部分参数，你还要在这之上先打开22和80端口，这样才能出去。
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT

因为里面还有好多参数，我就不一一拷贝了。

源哥仔 · 发表于 2005-1-20 13:11:49

谢谢峰哥.

是啦.峰哥.
如果我在iptables里加了
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A INPUT -i eth0 -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

这样子,可以用ssh登陆服务器吗?还有,别人还可不可以正常访问我们公司的网站呢?

源哥仔 · 发表于 2005-1-20 14:02:45

峰哥.

还有,公司的服务器是aparch+tomcat的,用来运行jsp文件的.

那iptables除了
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A INPUT -i eth0 -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

还要开什么端口给tomcat呢?以保证jsp正常运行呢?

谢谢峰哥.

		自动登录	找回密码
密码			注册

请问一个&quot;曾浩峰&quot;同学,如何加大tcp的缓存缩短timeout的时间,如何

请问一个"曾浩峰"同学,如何加大tcp的缓存缩短timeout的时间,如何