Loading... <p>cc攻击一到就有点兵临城下的感觉,正确的设置防护规则可以做到临危不乱,这里给出一个iptables对ip进行连接频率和并发限制,限制单ip连接和频率的设置规则的介绍</p> <p></p> <p>#单个IP在60秒内只允许新建20个连接,这里假设web端口就是80,</p> <p>iptables -I <span style="margin: 0px;padding: 0px;border: 0px;vertical-align: baseline;line-height: 1.5"> INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 20 –name DEFAULT –rsource -j DROP</span></p> <p><span style="margin: 0px;padding: 0px;border: 0px;vertical-align: baseline;line-height: 1.5"></span>iptables -I <span style="margin: 0px;padding: 0px;border: 0px;vertical-align: baseline;line-height: 1.5"> INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name DEFAULT –rsource</span></p> <p></p> <p>#控制单个IP的最大并发连接数为20</p> <p>iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 20 -j REJECT </p> <p></p> <p>#每个IP最多20个初始连接</p> <p>iptables -I INPUT -p tcp –syn -m connlimit –connlimit-above 20 -j DROP</p> <p></p> <p>参数解释:</p> <p>-p协议 </p> <p>-m module_name:</p> <p>-m tcp 的意思是使用 tcp 扩展模块的功能 (tcp扩展模块提供了 –dport, –tcp-flags, –sync等功能)</p> <p>recent模块:</p> <p>–name #设定列表名称,默认DEFAULT。</p> <p>–rsource #源地址,此为默认。</p> <p>–rdest #目的地址</p> <p>–seconds #指定时间内</p> <p>–hitcount #命中次数</p> <p>–set #将地址添加进列表,并更新信息,包含地址加入的时间戳。</p> <p>–rcheck #检查地址是否在列表,以第一个匹配开始计算时间。</p> <p>–update #和rcheck类似,以最后一个匹配计算时间。</p> <p>–remove #在列表里删除相应地址,后跟列表名称及地址</p> <p></p> <p>connlimit功能:</p> <p>connlimit模块允许你限制每个客户端IP的并发连接数,即每个IP同时连接到一个服务器个数。</p> <p>connlimit模块主要可以限制内网用户的网络使用,对服务器而言则可以限制每个IP发起的连接数。</p> <p>–connlimit-above n #限制为多少个</p> <p>–connlimit-mask n #这组主机的掩码,默认是connlimit-mask 32 ,即每个IP.</p> <p></p> 最后修改:2021 年 12 月 10 日 10 : 53 AM © 允许规范转载 赞赏 如果觉得我的文章对你有用,请随意赞赏 赞赏作者 支付宝微信