利用iptables防止php-ddos对外发包

分类:CentOS运维 阅读:39438 次

最近一段时间php-ddos泛滥,许多虚拟主机服务商都担心客户网站因为网站权限或漏洞问题被植入php-ddos,对外发送大量的数据包,带来不必要的麻烦和损失。为此,我们可以利用iptables,从根源上禁止php-ddos对外发包。


一、允许需要UDP服务的端口(如DNS)


iptables -I OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT

二、禁止本机对外发送UDP包


iptables -A OUTPUT -p udp -j DROP

绿色“53”,为DNS所需要的UDP端口,黄色“8.8.8.8”部分为DNS IP,根据您服务器的设定来定,若您不知您当前服务器使用的DNS IP,可在SSH中执行以下命令获取:


 cat /etc/resolv.conf |grep nameserver |awk 'NR==1{print $2 }'