众所周 知，Linux可以通过编写iptables规则对进出Linux主机的数据包进行过滤等操作，在一定程度上可以提升Linux主机的 性，在新版本内核中，新增了recent模块，该模块可以根据源地址、目的地址统计最近一段时间内经过本机的数据包的情况，并根据相应的规则作出相应的决 策，详见：http://snowman.net/projects/ipt_recent/ 1、 通过recent模块可以防止穷举猜测Linux主机用户口令，通常可以通过iptables限制只允许某些网段和主机连接Linux机器...

1: -A INPUT -p tcp -syn -j DROP This is a deskjiaohuan/'>top-centric rule that will do two things: First it will allow actually work normally on your desktop. All network traffic going out of your machine will be allowed out, but all TCP/IP traffic comin...

使用 sshguard 保護 OpenSSH 服務器 使用 TCPWrapper 限制連線來源 關閉密碼驗證功能, 僅允許 ssh 金鑰驗證登入 安裝 sshguard 下載 source tarball tar jxf sshguard-version.tar.bz2 cd sshguard-version python scons.py -Q FIREWALLTYPE= python scons.py -Q FIREWALLTYPE=iptables install chmod +s /usr/loc...

TC HTB 一.背景简介 最近几个月在参与一个软路由器的开发.该路由器的流量控制功能由TCHTB实现。下面写点总结性的文字，因水平有限，不对之处敬请各位及时指出。 TC为TrafficControl的缩写，HTB顾名思义是一个层次式的过滤框架,我们可以通过配置TC HTB规则来实现流量控制. 二.基本概念 TC规则涉及到队列(queue),分类器(class)和过滤器(filter)三个概念. 队列用来实现控制网络的收发速度.通过队列,linux可以将网络数据包缓存起来,然后根据的设置,在尽量不中断连...

在怀疑有Dos的时候，可以输入 netstat -an | grep -i 服务器ip地址:80 | awk {print }' | sort | uniq -c | sort -n 这个命令会自动统计Tcp连接各个状态的数量，如果SYN_RECV很高的话，就不能排除有基于tcp协议的ddos攻击的可能，这个时候可以打开tcp_syncookies，输入如下命令 echo 1 /proc/sys/net/ipv4/tcp_syncookies 如果没有 /proc/sys/net/ipv4/tcp_sy...

抵御 是利用TCP/IP协议3次握手的原理，发送大量的建立的网络包，但不实际建立，最终导致被服务器的网络队列被占满，无法被正常用户访问。 Linux内核提供了若干SYN相关的配置，用命令： sysctl -a | grep syn 看到： net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 0 net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5 tcp_max_s...

一、环境和要求： 线路：ADSL：2M/512K eth0:10.0.0.136,外网口 eth1:192.168.1.1,内网口 业务需求：保证正常的网页浏览，FTP，SMTP，POP3，对其它的所有应用加以限制，以免影响正常业务的使用。 1、让交互数据包保持较低的延迟时间,也就是说上载或下载文件不会打扰SSH/telnet等。 2、上载或下载期间有合理的速率用于网页浏览,即使http属于一种大量数据传输，也不应受其它传输影响太大 3、对FTP-data限速，不会占用所有带宽 4、对SMTP，pop3...

IMQ 是中介队列设备的简称，是一个虚拟的网卡设备，与物理网卡不同的是，通过它可以进行全局的整形，不需要一个网卡一个网卡地限速。这对有多个ISP接入的情况特别方便。配合 Iptables，可以非常方便地进行上传和限速。 一、网络环境简介 目的站点 (Internet) IP: 218.x.x.x (用 TARGET_IP 表示) 路由器 (Router) eth1_外网IP: 221.x.x.x (用INET_IP表示) eth0_内网IP: 192.168.0.1 (用 GW_IP 表示) 内网客户机...

#!/bin/bash#tc##2008-05-10#v0.0.0.1#简单的。因为有很多人要分享我的ADSL宽带，可是很多时候他们已经影响我正常使用#不得已，只好对他们进行限制一下。没有很好的进行设计，基本上达到了目的。刚刚学习中。。。LAN_IF=eth1WAN_IF=eth0DOWN_SPEED=640kbitUP_SPEED=64kbit#删除两个网卡上的队列 和外网网卡上的入口策略。tc qdisc del dev $LAN_IF root /dev/null 21 tc qdisc del...

这几日在看TCP协议栈代码的时候，总是有个疑问，本来是关于tcp_child_process的，看了这篇文章之后，顿悟。 在tcp_v4_do_rcv中，有下面一段代码，是关于TCP建立时候的代码： if (sk-sk_state == TCP_LISTEN) { struct sock *nsk = tcp_v4_hnd_req(sk, skb); if (!nsk) goto discard; if (nsk != sk) { if (tcp_child_process(sk, nsk, skb))...

发现存在大量TIME_WAIT状态的，通过调整内核参数， vi /etc/sysctl.conf 编辑文件，加入以下内容： net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_fin_timeout = 30然后执行 /sbin/sysctl -p 让参数生效。 net.ipv4.tcp_syncookies = 1 开启SYN Cookies。当出现SYN等待队列溢...

一. Samba的安装: # sudo apt-get insall samba # sudo apt-get install smbfs 二. 创建共享目录: # mkdir /home/willis/share # sodu chmod 777 /home/willis/share 三. 创建Samba: 1. 保存现有的配置文件 # sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bak 2. 创建新的Samba配置文件 # sodu vim /et...