所有埠的iptables dos限制

我知道如何使用 limit conntrack 選項來允許 DoS 保護。但是，我想添加一個保護來限制每個埠不超過 50 個連接。我怎樣才能做到這一點？

基本上，我想確保每個埠的連接數不超過 50 個，而不是全域應用 50 個連接（我相信 #2 是什麼？）

我會做類似的事情：

iptables -A INPUT --dport 1:65535 -m limit --limit 50/minute --limit-burst 50 -j ACCEPT

或者

iptables -A INPUT -m limit --limit 50/minute --limit-burst 50 -j ACCEPT

您將看到--hitcount開關。

–命中數

$$ hits $$ 匹配需要在特定時間範圍內達到一定數量的命中。hitcount 參數的最大值由“ip_pkt_list_tot”給出

你也會對--seconds開關感興趣。

我相信使用埠 80 並將連接限制為每小時 50 個的範例規則是這樣的：

iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 3600 --hitcount 50 -j DROP

引用自：https://serverfault.com/questions/378357