iptables高级防护

使用前准备：

ipset create blacklist hash:ip maxelem 1000000

修改防火墙规则文件或者使用命令方式修改防火墙策略：

参考内容： 

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m set --match-set blacklist src -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -j SET --add-set blacklist src
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

功能说明：

实现限制访问22端口频率防止暴力破解，限制端口扫描并记录IP后，禁止访问。

必须开放的端口防护：

如果是对外提供访问的服务器，比如web边界服务器，除了对非必要对外的端口的进行防护外，对于需要公开服务的端口，可以加上国别的限制，这样就减少了大量的攻击，对于常见的DDOS攻击，可以添加CDN(除了加速访问外，也能抵御部分攻击流量)，