Loading... <p>在网上又淘到一段IPTABLES的防火墙设置方案,大家也可以用这个,将下面代码每一行复制到SSH中执行一次。用这个防火墙规则,就无须再改动php.ini了。我测试成功,可以防止UDP类的PHP-DDOS木马对外攻击,黑客的攻击工具会显示对外发包攻击成功,但是实际上这些包都会被iptable防火墙给过滤掉,不会对外攻击了。</p><p>#iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT<br />#iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT<br />#iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 -d 8.8.4.4 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT<br />#iptables -A OUTPUT -p udp -m udp --sport 1024:65535 -d 8.8.8.8 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT<br />#iptables -A OUTPUT -p udp -j REJECT<br />#/etc/rc.d/init.d/iptables save<br /># service iptables restart<br />#chkconfig iptables on</p><p>开放 对外 以及对内的 DNS端口 53<br />禁止其他全部出站的UDP 协议<br />开机启动iptables<br />另外要说明的是,上面的代码是因为我服务器使用的是谷歌的DNS来解析,我服务器端对外的访问(在服务器端上网,就需要,如果只是单纯的服务器,不进行yum安装也可以不用),因此我开放对8.8.4.4和8.8.8.8的访问,如果你不是设置为谷歌的DNS,那么这里要自行修改成你的DNS。使用的DNS是什么可以用下面方法查询<br />#cat /etc/resolv.conf |grep nameserver</p><p> </p> <hr class="content-copyright" style="margin-top:50px" /><blockquote class="content-copyright" style="font-style:normal"><p class="content-copyright">版权属于:大漠孤狼</p><p class="content-copyright">本文链接:<a class="content-copyright" href="https://www.dmgls.com/483.html">https://www.dmgls.com/483.html</a></p><p class="content-copyright">转载时须注明出处及本声明</p></blockquote> Last modification:July 14th, 2020 at 11:53 am © 允许规范转载 Support 如果觉得我的文章对你有用,请随意赞赏 Appreciate the author