iptables的--limit和--limit-burst规则匹配的使用

最新推荐文章于 2023-12-11 10:38:10 发布
最新推荐文章于 2023-12-11 10:38:10 发布
阅读量1.2k 收藏 5
点赞数
分类专栏: iptables学习和使用 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/to_be_better_wen/article/details/128515622
版权

 一. 前言

        --limit和--limit-burst规则匹配是iptables对数据包众多的匹配的方式中的一种,使用之前需要用"-m limit",表示使用limit模块。limit模块主要是用于限制一个时间段内进入系统的数据包,主要的用途是减少泛洪攻击的影响。

        --limit和--limit-burst是配合使用的,如果iptables规则只使用了--limit,则表示使用--limit-burst的默认值为5。如果只指定了--limit-burst,则--limit默认值3/hour。如下所示:

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 3/m  -j DROP
[root@localhost ~]# iptables -A INPUT -m limit --limit-burst 8 -j DROP 
[root@localhost ~]# 
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 12 packets, 792 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0 limit: avg 3/min burst 5
    8   668 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/hour burst 8

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 7 packets, 996 bytes)
 pkts bytes target     prot opt in     out     source               destination

二. --limit和--limit-burst的使用

        还是使用示例效果的方式来讲解--limit和--limit-burst的作用。

示例如下

iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 3/minute --limit-burst 5 -j DROP

        指令的-p icmp --icmp-type echo-reply表示该指令是处理本主机向外ping的主机返回的数据包,--limit指定的单位时间是每分钟3个包,--limit-burst指定为5,指令的动作是对匹配的包丢弃。  

效果如下所示

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 3/minute --limit-burst 5 -j DROP
[root@localhost ~]# 
[root@localhost ~]# ping 192.168.1.105
PING 192.168.1.105 (192.168.1.105) 56(84) bytes of data.
64 bytes from 192.168.1.105: icmp_seq=6 ttl=64 time=0.266 ms
64 bytes from 192.168.1.105: icmp_seq=7 ttl=64 time=0.161 ms
64 bytes from 192.168.1.105: icmp_seq=8 ttl=64 time=0.164 ms
64 bytes from 192.168.1.105: icmp_seq=9 ttl=64 time=0.176 ms
64 bytes from 192.168.1.105: icmp_seq=10 ttl=64 time=0.176 ms
64 bytes from 192.168.1.105: icmp_seq=11 ttl=64 time=0.162 ms
64 bytes from 192.168.1.105: icmp_seq=12 ttl=64 time=0.175 ms
64 bytes from 192.168.1.105: icmp_seq=13 ttl=64 time=0.175 ms
64 bytes from 192.168.1.105: icmp_seq=14 ttl=64 time=0.160 ms
64 bytes from 192.168.1.105: icmp_seq=15 ttl=64 time=0.160 ms
64 bytes from 192.168.1.105: icmp_seq=16 ttl=64 time=0.171 ms
64 bytes from 192.168.1.105: icmp_seq=17 ttl=64 time=0.177 ms
64 bytes from 192.168.1.105: icmp_seq=18 ttl=64 time=0.165 ms
64 bytes from 192.168.1.105: icmp_seq=19 ttl=64 time=0.162 ms
64 bytes from 192.168.1.105: icmp_seq=20 ttl=64 time=0.156 ms
64 bytes from 192.168.1.105: icmp_seq=22 ttl=64 time=0.132 ms
64 bytes from 192.168.1.105: icmp_seq=23 ttl=64 time=0.193 ms
64 bytes from 192.168.1.105: icmp_seq=24 ttl=64 time=0.185 ms
64 bytes from 192.168.1.105: icmp_seq=25 ttl=64 time=0.162 ms
64 bytes from 192.168.1.105: icmp_seq=26 ttl=64 time=0.181 ms
64 bytes from 192.168.1.105: icmp_seq=27 ttl=64 time=0.177 ms
64 bytes from 192.168.1.105: icmp_seq=28 ttl=64 time=0.152 ms
64 bytes from 192.168.1.105: icmp_seq=29 ttl=64 time=0.136 ms
64 bytes from 192.168.1.105: icmp_seq=30 ttl=64 time=0.135 ms
64 bytes from 192.168.1.105: icmp_seq=31 ttl=64 time=0.170 ms
64 bytes from 192.168.1.105: icmp_seq=32 ttl=64 time=0.156 ms
64 bytes from 192.168.1.105: icmp_seq=33 ttl=64 time=0.162 ms
64 bytes from 192.168.1.105: icmp_seq=34 ttl=64 time=0.173 ms
64 bytes from 192.168.1.105: icmp_seq=35 ttl=64 time=0.206 ms
64 bytes from 192.168.1.105: icmp_seq=36 ttl=64 time=0.155 ms
64 bytes from 192.168.1.105: icmp_seq=37 ttl=64 time=0.150 ms
64 bytes from 192.168.1.105: icmp_seq=38 ttl=64 time=0.175 ms
64 bytes from 192.168.1.105: icmp_seq=39 ttl=64 time=0.194 ms
64 bytes from 192.168.1.105: icmp_seq=40 ttl=64 time=0.173 ms
64 bytes from 192.168.1.105: icmp_seq=42 ttl=64 time=0.163 ms
64 bytes from 192.168.1.105: icmp_seq=43 ttl=64 time=0.181 ms
64 bytes from 192.168.1.105: icmp_seq=44 ttl=64 time=0.194 ms
64 bytes from 192.168.1.105: icmp_seq=45 ttl=64 time=0.182 ms

        从结果来看,前面的5个icmp包都没有收到回复,并且第21和41个包没有收到回复。

结果解析

        在这里需要引入一个令牌桶的概念,一个令牌桶中可以装若干个令牌。--limit-burst表示令牌桶的容量以及装有默认的令牌的数量,当令牌桶中有令牌时,将会匹配到数据包,并且令牌桶中的令牌的数量减1,所以,可以看到因为令牌桶中的数量默认为5,前面的5个包icmp回包都被匹配到了,都被DROP了。

        --limit 3/minute表示每分钟向令牌桶中加入3个令牌,所以每20秒,向令牌桶中加入一张令牌,所以我们可以看到,第21和41个包都被匹配到了。注意,令牌每隔20秒会向令牌桶中加入一张令牌,如果当前没有匹配的数据包,令牌不会减少,而是会增加到--limit-burst指定到令牌数量,因为--limit-burst指定的是令牌桶的大小,所以,数量增加--limit-burst指定到令牌数量后,不会继续增加。可知本例中在20*5 = 100秒后,令牌桶的数量会重新装满。

三. 总结

        limit模块引入了令牌桶的机制,使用--limit-burst指定令牌桶的大小,当令牌桶中有令牌时,则可以匹配到数据包,如果没有了令牌,则需要等到--limit指定的时间单位间隔向令牌桶加入令牌,才能继续匹配数据包。

to_be_better_wen
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
iptables中关于limitlimit-burst的解释
多少钱一斤?
09-02 2245
<br />Limit match<br />    这个匹配操作必须由-m limit明确指定才能使用。有了它的帮助,就可以对指定的规则的日志数量加以限制,以免你被信息的洪流淹没哦。比如,你可以事先设定一个限定值,当符合条件的包的数量不超过它时,就记录;超过了,就不记录了。我们可以控制某条规则在一段时间内的匹配次数(也就是可以匹配的包的数量),这样就能够减少DoS syn flood攻击的影响。这是它的主要作用,当然,还有很多其他作用(注:比如,对于某些不常用的服务可以限制连接数量,以免影响其他服务)。l
iptables
Anonymous-1
10-23 334
一、简介 netfilter/iptables(简称 iptables)组成 Linux 平台下的包过滤防火墙 iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集 安装 iptables yum -y install iptables iptables-services 重启:systemctl restart iptables 保存
iptableslimit
weixin_34228387的博客
02-02 714
iptables --limit --limit-burst 使用研究 1、限制特定包传入速度 2、限制特定端口传入频率 3、使用--limit限制ping的一个例子 4、用户自定义使用链 5、防范SYN-Flood碎片*** 1、限制特定包传入速度 参数 -m limit --limit 范例 iptables -A INPUT -m limit --l...
Iptables防火墙limit模块扩展匹配规则
江晓龙的博客
07-09 1322
limit模块的作用是针对报文的速率进行限制,限制的单位有秒、分钟、小时、天等,例如一分钟内只接收10个请求报文,多余的报文则会被丢弃。limit模块的常用参数: 查看效果,可以看到前5个数据包都可以正常接收,那是因为limit默认初始包就是5个,因此没有任何问题,从第六个数据包开始后,每隔6秒才会正常处理一个数据包,因为1分钟限制10次数据包的接收,那就表示6秒收一个,效果如下图所示。也可以理解为是一开始可以快速通过5个数据报文,后面的数据报文是每分钟通过10个。实现思路和1)中一模一样,只不过就是调整一
iptables 的一些-m模块
BUG_MeDe的博客
07-07 2535
iptables一些简单的模块
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
centos6-iptables-1.4.7-16.el6.x86-64
08-09
centos6-iptables-1.4.7-16.el6.x86-64
iptables-services-1.4.21-17.el7.x86_64.rpm 下载
06-18
centos7 iptables-services-1.4.21-17.el7.x86_64.rpm 安装包 下载
2nft:Web应用程序以使用iptables-translate
05-02
2英尺Web应用程序,可让您通过iptables-translate将旧规则转换为 。 如果您对应用程序的结构方式感兴趣,可以在更多信息。安装使用Docker或npm有两种选择。 由于依赖关系,这仅在Linux上有效。 make iptablesmake ...
iptables-save命令 保存iptables的表配置
01-20
iptables-save命令用于保存iptables的表配置。 语法格式:iptables-save [参数] 常用参数: -c 指定要保存的iptables表时,保存当前的数据包计算器和字节计数器的值 -t 指定要保存的表的名称 参考实例 指定...
iptables使用-m limit出错
huadianyue的专栏
05-15 831
iptables配置扩展功能时,提示match limit错误
linux 自定义Iptables日志与生成数量
我心如水
08-13 1603
官方英文原版: Iptables default log file For example, if you type the following command, it will display current iptables log from /var/log/messages file:  # tail -f /var/log/messages  Output:  Oc
Nginx负载均衡配置、限流配置、Https配置详解
a410974689的博客
11-24 5728
通过proxy_pass 可以把请求代理至后端服务,但是为了实现更高的负载及性能, 我们的后端服务通常是多个, 这个是时候可以通过upstream 模块实现负载均衡。
Nginx的请求速率限制模块的两个关键参数rate和burst和相关代码语句的详细说明。
最新发布
昊虹AI笔记
12-11 1374
Nginx的请求速率限制模块的两个关键参数rate和burst和相关代码语句的详细说明。
iptables匹配扩展--limit
weixin_39833509的博客
08-06 415
Limit match 这个匹配操作必须由-m limit明确指定才能使用。有了他的帮助,就能对指定的规则的日志数量加以限制,以免你被信息的洪流淹没哦。比如,你能事先设定一个限定值,当符合条件的包的数量不超过他时,就记录;超过了,就不记录了。我们能控制某条规则在一段时间内的匹配次数(也就是能匹配的包的数量),这样就能够减少DoS syn flood攻击的影响。这是他的主要作用,当然,更有非常多其他作用(注:比如,对于某些不常用的服务能限制连接数量,以免影响其他服务)。limit match也能用英文感叹号取
iptables学习研究三(limit,--limit-burst)
fafa211的专栏
04-19 1万+
iptables --limit --limit-burst 使用研究1、限制特定包传入速度2、限制特定端口传入频率3、使用--limit限制ping的一个例子4、用户自定义使用链5、防范SYN-Flood碎片攻击1、限制特定包传入速度参数 -m limit --limit 范例 iptables -A INPUT -m limit --limit 3/hour 说明 用来比对某段时间内封
iptables防火墙配置部分示例命令
迷茫的IT老腊肉
08-31 1435
配置filter表防火墙清除预设表filter中的所有规则链的规则iptables -F清除预设表filter中使用者自定链中的规则iptables -X设定预设规则iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP开启22端口iptables -A INPUT -p tcp --dport 22 -j
Nginx下limit_req模块burst参数超详细解析
热门推荐
博观而约取,厚积而薄发
11-28 3万+
在学习Nginx的时候遇到了这个问题,百度到了很多博客,大多都讲得不清不楚,在看到了 http://www.wangjingfeng.com/730.html http://cjhust.blog.163.com/blog/static/17582715720111017114121678/ 这两篇博客之后终于疑窦瞬开,在综合了之前看到的博客再加上测试案例之后整理成文。 引言: 漏斗算法...
iptables limit
08-18
使用iptables limit,您可以在iptables规则中添加`-m limit`选项,并指定一些参数来定义限制条件。以下是一个示例规则: ```bash iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute --limit-burst...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值