# ungewöhnliche Flags verwerfen
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# Unerwartete Pakete verwerfen und ungültige loggen
iptables -A INPUT -p tcp ! --syn -m state --state NEW -jDROP
iptables -A INPUT -p tcp -mstate --state INVALID -m limit --limit 10/m -j LOG --log-level info
# SYN-Flood-Schutz
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
# HTTP-CONNECT-Anfragen ablehnen
iptables -I INPUT -p tcp -d 0/0 --dport 80 -m string --string "CONNECT" -j REJECT
# Anzahl Verbindungen begrenzen
iptables -p tcp -m iplimit --iplimit-above 2 -j REJECT --reject-with tcp-reset