我正在使用 iptables 创建一个小型防火墙,将每个 IP 的最大同时连接数限制为 40 个。
所以我的情况是这样的:
iptables -A INPUT -p tcp --syn --dport 1234 -m connlimit --connlimit-above 40 -j REJECT --reject-with tcp-reset
如果每个 IP 的连接数超过 40,我想禁止该 IP 120 秒,但我不知道如何做到这一点。
有人能帮我吗?
答案1
你可以使用失败2ban对于超过连接限制后的禁止部分。我认为不可能将connlimit和recent模块组合起来(recent否则将是任何基于时间间隔的规则的自然选择),以便它们能够满足您的禁止要求。