Linux
所有埠的iptables dos限制
我知道如何使用 limit conntrack 選項來允許 DoS 保護。但是,我想添加一個保護來限制每個埠不超過 50 個連接。我怎樣才能做到這一點?
基本上,我想確保每個埠的連接數不超過 50 個,而不是全域應用 50 個連接(我相信 #2 是什麼?)
我會做類似的事情:
iptables -A INPUT --dport 1:65535 -m limit --limit 50/minute --limit-burst 50 -j ACCEPT
或者
iptables -A INPUT -m limit --limit 50/minute --limit-burst 50 -j ACCEPT
您將看到
--hitcount
開關。–命中數
$$ hits $$ 匹配需要在特定時間範圍內達到一定數量的命中。hitcount 參數的最大值由“ip_pkt_list_tot”給出
你也會對
--seconds
開關感興趣。我相信使用埠 80 並將連接限制為每小時 50 個的範例規則是這樣的:
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 3600 --hitcount 50 -j DROP