Linux限制IP段连接,linux中Iptables限制同一IP连接数防CC/DDOS攻击方法

1.限制与80端口连接的IP最大连接数为10,可自定义修改。

代码如下

复制代码

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用。

代码如下

复制代码

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool

--rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:'

--log-ip-options

#60秒10个新连接,超过记录日志。

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP

#60秒10个新连接,超过丢弃数据包。

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT

#范围内允许通过。

上面的相对比较简单,下面我来分析更具体的配置方法。CentOS/Redhat/Fedora

在服务器执行

代码如下

复制代码

vi /etc/sysconfig/iptables

删除原来的内容输入如下内容 保存

# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010

*filter

:INPUT DROP [385263:27864079]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [4367656:3514692346]

-A INPUT -i lo -j ACCEPT

-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -s 127.0.0.1 -j ACCEPT

-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name WEB –rsource

-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 5 –hitcount 20 –rttl –name WEB –rsource -j DROP

-A INPUT -p tcp -m multiport –ports 21,22,80 -j ACCEPT

-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m ttl –ttl-eq 117 -j DROP

-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m length –length 0:40 -j DROP

-A INPUT -p tcp -m tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP

COMMIT

# Completed on Sun Dec 12 23:55:59 2010

说明此设定仅对外开放21(FTP),22(SSH),80(http网站)三个TCP端口。设置80端口5秒内20个连接

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值