海运的博客

编辑Nginx配置文件在fastpass前添加以下内容

location ~* ^/www.haiyun.me/.*\.(php|php5)$  #限制/data/attachment/目录
{
  deny all;  #拒绝执行php程序
}

重启nginx

service nginx restart

1.限制与80端口连接的IP最大连接数为10，可自定义修改。

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

2.使用recent模块限制同IP时间内新请求连接数，recent更多功能请参考：Iptables模块recent应用。

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options
#60秒10个新连接，超过记录日志。
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP
#60秒10个新连接，超过丢弃数据包。
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT
#范围内允许通过。

此SSL证书由于是自签名不被浏览器信任，访问时浏览器会有警告信息，也可使用经授权的StartSSL免费SSL证书。
首先生成服务器证书和密钥：

openssl req -x509 -newkey rsa:3072 -nodes -out server.csr -keyout server.key -subj "/C=CN/O=Haiyun/CN=haiyun.me/CN=www.haiyun.me"

将证书和密钥合成为pem文件：

cat server.crt server.key > server.pem

设置权限：

chmod 400 server.*

配置Nginx，在server段加入：

listen               443;
ssl                   on;
ssl_certificate     /www.haiyun.me/server.pem;
ssl_certificate_key /www.haiyun.me/server.key;

重启Nginx，访问www.haiyun.me即可。

/etc/init.d/nginx restart

#/bin/bash
sshport=`netstat -lnp|awk -F"[ ]+|[:]" '/sshd/{print$5}'`
iptables -F #清除自带规则
iptables -X
iptables -P INPUT DROP #进入本机数据包默认拒绝
iptables -P OUTPUT ACCEPT #本起外出数据包允许
iptables -A INPUT -i lo -j ACCEPT #允许本地环回
iptables -A INPUT -m state --state INVALID  -j LOG --log-prefix "INVALID" --log-ip-options
#记录无效的数据包并丢弃
iptables -A INPUT -m state --state INVALID  -j  DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
#允许已建立连接与出相关的数据包进入
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT 
#允许目标端口为80的新连接进入
iptables -A INPUT -m state --state NEW -p tcp --dport $sshdport -j ACCEPT
#允许目标端口为22的新连接进入
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s --limit-burst 20 -j ACCEPT 
#允许ping回应，每秒5个，最多20个。
service iptables save #保存规则

注意：勿一条条执行，最好保存为脚本并运行，避免将自己关外面，也可设置定时任务5分钟后关闭Iptables防火墙，防止万一。

vim /etc/syscionfig/network-scripts/ifcfg-eth0:0

添加以下内容

DEVICE=eth0:0 #网卡设置名称，不要重复
onboot=YES   #随机启动
BOOTPROTO=static  #静态分配
IPADDR=192.168.1.2 #要添加的IP地址
NETMASK=255.255.255.0  #子网掩码（以实际为准）
GATEWAY=192.168.1.1 #路由

如果IP是连续的，可以使用下面的方法

vim /etc/sysconfig/network-scripts/ifcfg-eth0-range0
IPADDR_START=192.168.1.2 #起始IP
IPADDR_END= 192.168.1.10#结束IP
CLONENUM_START=2 #网卡起始编号
NETMASK=255.255.255.0 #子网掩码
ONBOOT=yes #随机启动

重新启动network生效

/etc/init.d/network restart