J'ai moddé quelques règles IPTables pour Apache (J'ai testé) pour le flood...
Ça "drop" les paquets quand tu dépasses 60 nouvelles connections par minute...
Ça devrait donc un peu moins tirer la gueule.
Mes yeux me disent d'y aller... :ir:
Si t'es curieux, c'est ce que j'ai ajouté:
# Stop syn attacks (flooding)
$IPT -A INPUT -i eth0 -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
$IPT -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# Drop all smurf attacks
$IPT -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
$IPT -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
$IPT -A INPUT -p icmp -m icmp -j DROP
# Drop all invalid packets
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A OUTPUT -m state --state INVALID -j DROP
# Drop excessive RST packets to avoid smurf attacks
$IPT -A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 2/second --limit-burst 2 -j ACCEPT
$IPT -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 32 -j DROP
$IPT -I INPUT -p tcp --syn --dport 443 -m connlimit --connlimit-above 32 -j DROP
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 60/minute --limit-burst 200 -j ACCEPT
$IPT -A INPUT -p tcp --dport 443 -m state --state NEW -m limit --limit 60/minute --limit-burst 200 -j ACCEPT
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 60/second --limit-burst 60 -j ACCEPT
# ping limit
$IPT -A INPUT -p icmp -m limit --limit 1/sec -j ACCEPT