我知道如何使用限制conntrack选项来允许DoS保护。 但是,我想添加一个保护来限制每个端口不超过50个连接。 我怎样才能做到这一点?
基本上,我想确保每个端口不能超过50个连接 ,而不是全局应用50个连接(这是我相信的第二个)?
我会做一些事情吗?
iptables -A INPUT --dport 1:65535 -m limit --limit 50/minute --limit-burst 50 -j ACCEPT 要么
iptables -A INPUT -m limit --limit 50/minute --limit-burst 50 -j ACCEPT
你将会看到--hitcount开关。
–hitcount [点击量]
匹配在特定的时间范围内需要一定数量的命中。 hitcount参数的最大值由“ip_pkt_list_tot”
你也会对--seconds开关感兴趣。
我相信一个示例规则使用端口80和限制连接到每小时50将是这样的:
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 3600 --hitcount 50 -j DROP