Имеется VPS(2GB оперативы, Hetzner) с Ubuntu,lighttpd,mysql,php и парочкой сайтов с общим онлайном до 5к уников в сутки.
Решил набросать примитивную защиту от DDOS на уровне iptables. И задумался, а не попадут ли у меня поисковые роботы под эти ограничения? Кто-нибудь может сказать насколько активно они индексируют сайт? Может и по самим настройкам, что подскажите? Спасибо.
iptables -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT
iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m recent --rcheck --seconds 60 -m limit --limit 50/second -j DROP iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP iptables -I INPUT -p icmp -f -j DROP iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 85 -j LOG --log-prefix «WWW: » iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 85 -j DROP
iptables -t filter -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE iptables -t filter -A FORWARD -p icmp -j DROP
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
# FTP iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT # SMTP iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT # DNS iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT # HTTP iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT # POP iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT # IMAP iptables -A INPUT -i eth0 -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 6 -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type 6 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 30 --hitcount 3 -j DROP
---------
net.ipv4.icmp_echo_ignore_broadcasts=1 net.core.somaxconn=1024 net.ipv4.tcp_syncookies=1 net.ipv4.conf.default.rp_filter=1 net.ipv4.ip_forward=0 net.ipv4.tcp_rmem = 4096 8388608 16777216 net.ipv4.tcp_wmem = 4096 4194394 16777216 net.ipv4.tcp_max_tw_buckets=720000 net.ipv4.tcp_tw_reuse=1 net.ipv4.tcp_tw_recycle=1 net.ipv4.tcp_fin_timeout=30 net.ipv4.tcp_keepalive_time=1800 net.ipv4.tcp_keepalive_probes=7 net.ipv4.tcp_keepalive_intvl=30 net.ipv4.tcp_max_syn_backlog=1024 net.ipv4.conf.lo.rp_filter = 1 net.ipv4.conf.eth0.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.lo.accept_source_route = 0 net.ipv4.conf.eth0.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0
Спасибо.
