我知道如何使用限制连接跟踪选项来实现 DoS 保护。但是,我想添加一个保护措施,限制每个端口的连接数不超过 50 个。我该怎么做?
基本上,我想确保每个端口最多可以有 50 个连接,而不是全局应用 50 个连接(我相信这是 #2 所言?)
我会做类似的事情吗:
iptables -A INPUT --dport 1:65535 -m limit --limit 50/minute --limit-burst 50 -j ACCEPT
或者
iptables -A INPUT -m limit --limit 50/minute --limit-burst 50 -j ACCEPT
答案1
您将会看到--hitcount
开关。
--hitcount [点击次数]
匹配要求在特定时间范围内有一定数量的命中。命中数参数的最大值由“ip_pkt_list_tot”给出
您还会对--seconds
开关感兴趣。
我相信使用端口 80 并将连接数限制为每小时 50 个的示例规则将是这样的:
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 3600 --hitcount 50 -j DROP