1.

准备工作与信息收集

步骤：a) 登录台湾电信 VPS 控制面板，记录公网 IP、控制台与防护面板入口。b) 确认操作系统（Ubuntu/CentOS）和内核版本：uname -a。c) 备份重要配置：cp /etc/ssh/sshd_config ~/sshd_config.bak。

2.

基础防火墙：使用 UFW（适合 Ubuntu）

步骤：a) 安装并启用：apt update && apt install ufw -y；ufw default deny incoming; ufw default allow outgoing。b) 允许必要端口：ufw allow 22/tcp; ufw allow 80,443/tcp。c) 如果 SSH 非默认端口替换 22；启用并检查状态：ufw enable; ufw status verbose。

3.

进阶防火墙：使用 iptables/nftables（更灵活）

步骤（iptables 示例）：a) 保存默认规则：iptables-save > /root/iptables.bak。b) 基本规则：iptables -F; iptables -X; iptables -P INPUT DROP; iptables -P FORWARD DROP; iptables -P OUTPUT ACCEPT。c) 允许回环/已建立连接：iptables -A INPUT -i lo -j ACCEPT; iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT。d) 允许服务端口：iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT。e) 持久化：apt install iptables-persistent 或使用 iptables-save >/etc/iptables/rules.v4。

4.

使用 ipset 快速阻挡大批 IP

步骤：a) 安装 ipset：apt install ipset。b) 创建集合并加入规则：ipset create blacklist hash:ip; iptables -I INPUT -m set --match-set blacklist src -j DROP。c) 批量加入：ipset add blacklist 1.2.3.4; 或使用脚本导入 /etc/blacklist.txt。

5.

防止 SYN 洪水与内核调优

步骤：a) 临时设置：sysctl -w net.ipv4.tcp_syncookies=1; sysctl -w net.ipv4.tcp_max_syn_backlog=2048；b) 持久化写入 /etc/sysctl.conf：net.ipv4.tcp_syncookies=1\nnet.ipv4.tcp_max_syn_backlog=2048\nnet.netfilter.nf_conntrack_max=262144。c) 重载：sysctl -p。

6.

限速与连接追踪优化

步骤：a) 使用 iptables rate-limit：iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 4 -j REJECT；iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/second --limit-burst 50 -j ACCEPT。b) 调整 conntrack：echo 262144 > /proc/sys/net/netfilter/nf_conntrack_max。

7.

应用层防护：nginx 限流与 ModSecurity

步骤：a) nginx limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; 配置 limit_req 在 server/location 中。b) 安装 ModSecurity（适合 Apache/nginx）：启用 OWASP 栈并更新规则，重启服务测试。

8.

入侵检测与自动封禁（fail2ban）

步骤：a) 安装：apt install fail2ban -y。b) 创建本地 jail：/etc/fail2ban/jail.local，添加 sshd 配置：[sshd]\nenabled = true\nport = 22\nfilter = sshd\nmaxretry = 5\nbantime = 3600。c) 重启 fail2ban 并查看状态：systemctl restart fail2ban; fail2ban-client status sshd。

9.

监控与流量分析（检测 DDoS 来源）

步骤：a) 实时查看连接：ss -tunap | head；b) 使用 tcpdump 捕获可疑流量：tcpdump -i eth0 src host X.X.X.X -w suspect.pcap（注意磁盘）；c) 使用 vnStat/iftop/ntopng 监控带宽趋势，配置告警（Prometheus + Grafana 可选）。

10.

与台湾电信/主机商协作的应急流程

步骤：a) 提前了解主机商提供的 DDoS 面板、黑洞（null-route）或清洗服务。b) 遭受攻击时：立刻通过工单/电话联系，提交攻击开始时间、攻击类型（SYN/UDP/HTTP）、源 IP 列表与 pcap。c) 请求临时封锁（IP 黑洞）或流量清洗；同时本地降低服务暴露面（停止非必要端口）。

11.

测试防护有效性（在受控环境下）

步骤：a) 仅在授权网络/实验机上使用 hping3 测试 SYN flood：hping3 -S -p 80 --flood <你的IP>（注意法律与风险）。b) 使用 ab 或 wrk 测试 HTTP 限流效果。c) 根据结果调整 iptables/nftables 规则与内核参数。

12.

日常维护与自动化备份规则

步骤：a) 将防火墙规则、ipset 列表、sysctl.conf 放入版本控制并定期备份。b) 用 crontab 导出 ipset/iptables：*/5 * * * * /sbin/iptables-save >/root/iptables-$(date +\%F).rules。c) 定期审计日志 /var/log/auth.log 与 nginx/access.log，更新拦截策略。

13.

问：台湾电信 VPS 遭到 DDoS 时我第一步该做什么？

14.

答：先收集证据并减小暴露面

步骤：暂停非必要服务、导出 pcap 或 netstat/ss 输出，联系台湾电信客服开启清洗或 null-route，同时在 VPS 端启用严格 iptables/ipset 规则并限速。

15.

问：如何在不影响正常用户的情况下做限流？

16.

答：分流与分级限速

方法：对重要接口（API/登录）设置较低速率限制，对静态资源使用 CDN 缓存并在 nginx 上对单 IP 做令牌桶限速，结合 IP 白名单保证可信用户不受影响。

17.

问：台湾电信有没有可用的防护服务，如何选择？

18.

答：选择清洗能力与响应速度匹配的方案

建议：询问支持清洗带宽、按秒计费与响应时间，优先考虑已有全球/本地清洗节点的供应商；对小型 VPS 可结合 Cloudflare/加速型 CDN 与主机商基础黑洞服务。

来源：安全篇 台湾电信vps 的防火墙与DDoS防护设置建议