ICMP flood protection

Дропаем нахрен весь ICMP echo:

SYN flood atack

SYN-флуд — одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок.

Рабочий пример атаки:

SYN flood protection

Ограничиваем плохих парней, пусть нервно курят.

UDP flood protection

Ограничиваем исходящий UDP трафик.

MAX connections limits

Ограничеваем максимальное количество одновременных соеденений с одного ip:

Other protections

Ну и разумеется поправим конфигурацию само ядрышка.
/etc/sysctl.conf:

# Защита от SYN атак, включаем SYN cookies
net.ipv4.tcp_syncookies=1
# Увеличим размер пула "полуоткрытых" соединений,
# полезно при SYN флуде [default: 512]
net.ipv4.tcp_max_syn_backlog=2048
# Целочисленное значение (1 байт) tcp_synack_retries
# определяет число попыток повтора передачи пакетов SYNACK
# для пассивных соединений TCP. Число попыток не должно превышать 255.
# Используемое по умолчанию значение 5 соответствует приблизительно
# 180 секундам на выполнение попыток организации соединения.
# Уменьшим до 1 (примерно 9 сек).
net.ipv4.tcp_synack_retries=1
# Изменяем время ожидания приема FIN до полного закрытия сокета
net.ipv4.tcp_fin_timeout=10
# Проверять TCP-соединение каждую минуту.
# Если на другой стороне - легальная машина,
# она сразу ответит [default: 2h]
net.ipv4.tcp_keepalive_time=60
# Повторить пробу через 10 секунд
net.ipv4.tcp_keepalive_intvl=10
# Количество проверок перед закрытием соединения
net.ipv4.tcp_keepalive_probes=5
# Фильтр обратного пути, защита от спуфинга (подмены адресов)
net.ipv4.conf.default.rp_filter=1

Console commands

Enjoy!