iptablesでサーバを守るときに知っておくと良いことを3つ紹介します
1. 接続回数を制限する(IPアドレスごと)
hash_limitを使います
これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です
例
2. 接続回数を制限する(サービスごと)
limitを使って制限します
これにより多数のホストからの攻撃、DDoS攻撃を緩和します
limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。
(攻撃を受けている間は自分たちも制限されるため)
Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか?
例
3. 接続IPアドレスを限定する
IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります
この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります
例
あとはこんな感じのスクリプトを用意して
iptables.pl
rootでこんな感じのコマンドを打てばIP制限チェインの出来上がりです
# wget http://ftp.apnic.net/stats/apnic/delegated-apnic-latest \ -O - | ./iptables.pl ACCEPT_IP | bash
細かいパラメータや、IPアドレスについては各自調整してみて下さい