有文章如下这这表明这些 iptables 规则的形式可以阻止短时间内建立过多的 SSH 连接:
-I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
-I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
根据文章内容,“如果某个 IP 每分钟尝试建立超过 3 个新的 SSH 连接,“这些规则将会阻止它”。
如果 iptables 的 INPUT 链配置为默认策略 DROP,那么以下规则的性能是否与前面显示的规则相同?
-I INPUT -p tcp --dport 22 -i eth0 -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 1 -j ACCEPT
答案1
iptables 模块:在某些情况下limit
可以recent
是等效的,包括您手头的情况。
这是类似的帖子服务器故障。