http://wiki.debian.org/Firewalls and http://wiki.debian.org/iptables firehol: http://firehol.sourceforge.net/

gw:/home/qguo# less /etc/firehol/firehol.conf
firehol.conf       firehol.conf~      firehol.conf.1     firehol.conf.orig
gw:/home/qguo# less /etc/firehol/firehol.conf

 

参考:http://firehol.sourceforge.net/tutorial.html

-----------

其他资料

http://baoz.net/firehol-iptables/

不知道为啥,从我一开始接触linux的时候,我就本能的不喜欢写iptables规则或脚本,这个链那个链麻烦的很。我要么在系统自带的基础上改 改,要么就用phpfwgen生成一个。今天帮一个朋友处理一个connect flood的DDOS,过程很简单,就是分析下access.log,sort uniq awk一阵捣鼓,把IP提取出来。

 

接着来头大了,debian貌似没类似redhat那种默认的策略啥的,apt-cache了下,firehol这东西不错,简单好用。

安装之后直接firehol helpme > out生成基本配置文件

然后在#!/bin/firehole之后加入blacklist ip即可拦截IP的访问。

最爽的是他有个firehol try参数以测试防火墙规则,30秒内自动回滚。

写了个小shell让朋友自己去处理下,我从来不会写带判断或者带循环的shell脚本,更加不会写带判断或循环的程序了,呵呵,都算不上一个合格的scriptkid,献丑了。

cat /usr/bin/getflood
#!/bin/bash
ooxx /var/log/lighttpd/access.log | awk ‘{print $1}’| sort | uniq | awk ‘{print “blacklist”,$1}’ > /etc/firehol/blacklist
cp -f /etc/firehol/firehol.conf /etc/firehol/org
echo “#!/sbin/firehol” > /etc/firehol/firehol.conf
cat /etc/firehol/blacklist >> /etc/firehol/firehol.conf
grep -v sbin /etc/firehol/org >> /etc/firehol/firehol.conf
webalizer
echo > /var/log/lighttpd/access.log