iptables 所有端口的 dos 限制

iptables 所有端口的 dos 限制

我知道如何使用限制连接跟踪选项来实现 DoS 保护。但是,我想添加一个保护措施,限制每个端口的连接数不超过 50 个。我该怎么做?

基本上,我想确保每个端口最多可以有 50 个连接,而不是全局应用 50 个连接(我相信这是 #2 所言?)

我会做类似的事情吗:

iptables -A INPUT --dport 1:65535 -m limit --limit 50/minute --limit-burst 50 -j ACCEPT

或者

iptables -A INPUT -m limit --limit 50/minute --limit-burst 50 -j ACCEPT

答案1

您将会看到--hitcount开关。

--hitcount [点击次数]

匹配要求在特定时间范围内有一定数量的命中。命中数参数的最大值由“ip_pkt_list_tot”给出

您还会对--seconds开关感兴趣。

我相信使用端口 80 并将连接数限制为每小时 50 个的示例规则将是这样的:

iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 3600 --hitcount 50 -j DROP

相关内容