Iptables 限制連接數(如SFTP) 以及 謹防CC/DDOS攻擊的配置 ( connlimit模塊)


 

之前在公司服務器上部署了sftp,用於上傳業務系統的附件。后來由於程序連接問題,使的sftp連接數過多(最多時高達400多個sftp連接數),因為急需要對sftp的連接數做嚴格限制。操作記錄如下:

啟動sftp本機的iptables防火牆功能,限制每個ip連接22端口(sftp連接端口即是ssh端口)最大為50個,當超過50后的連接數的流量就會被DROP掉!
同時iptables需要開放50000-65535范圍的端口的訪問(linux系統最大的端口為65535)

[root@localhost ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
#-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT
#-A INPUT -j REJECT --reject-with icmp-host-prohibited                                //注意這兩行需要注釋掉!否則設置的策略無效!
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

=================================解釋說明===========================================
上面限制端口連接數主要用到的模塊是connlimit。
-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP

說明輸入的目標端口是22,也就是訪問sftp本機22端口的流量,如果連接數大於50,則DROP掉流量! 
connlimit-above這個是連接數的統計,

如果大於50就滿足條件,connlimit-mask這個是定義那組主機,此處跟的一個數值是網絡位,即子網掩碼,也就是connlimit-mask 0 這個ip組的連接數
大於connlimit-above 50 則DROP掉!

總體描述為流量過濾端口和連接數以及網絡位,如果滿足第一條,則拒絕,流量不再匹配下邊的規則,如果不匹配,則第二條規則會允許流量。
--connlimit-mask 0 即子網掩碼為0,表示所有的ip,也就是說不管來源是什么ip,只要連接此服務器的22端口總數超過50個,則DROP掉流量!

如果將--connlimit-mask 0去掉,則子網掩碼默認是32,這是針對單個ip或某一個具體ip連接此服務器的22端口超過50個,則DROP掉!
如果有51台機器,每台機器連接一個,則不會被DROP掉!因為這種情況是針對單個ip連接數限制 (單個ip的連接超過50才被drop)

也就是說connlimit-above 50這個的數量所限制的區域是由--connlimit-mask 0而定!

=============iptables利用connlimit模塊限制同一IP連接數==============

connlimit功能:
   connlimit模塊允許限制每個客戶端IP的並發連接數,即每個IP同時連接到一個服務器個數。
   connlimit模塊主要可以限制內網用戶的網絡使用,對服務器而言則可以限制每個IP發起的連接數。
 
connlimit參數:
  --connlimit-above n    #限制為多少個
  --connlimit-mask n     #這組主機的掩碼,默認是connlimit-mask 32 ,即每個IP.
 
示例說明:
1) 限制同一IP同時最多100個http連接
# iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT
或者
# iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT

2) 只允許每組C類IP同時100個http連接
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 24 -j REJECT

3) 只允許每個IP同時5個80端口轉發,超過的丟棄
# iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP

4) 限制某IP最多同時100個http連接
# iptables -A INPUT -s 172.16.60.51 -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT

5) 限制每IP在一定的時間(比如60秒)內允許新建立最多100個http連接數
# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 100 -j REJECT
# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

=============使用sftp或ftp協議上傳文件,上傳文件大小為0=============
客戶端上傳報錯:error while writing: received failure with description 'Failure'
服務器端/var/log/message報錯:sftp-server[15747]: error: process_write: write failed 

造成這個錯誤大致就兩個原因:
1) ulimit限制.
在sftp連接使用的賬號下增大ulimit的值
# ulimit -n 65535
2) 磁盤空間不夠了

======================iptables限制同一IP連接數,預防CC/DDOS攻擊======================

1)限制與80端口連接的IP最大連接數為50,可自定義修改。(這里指的是每個ip與80端口的連接數最大為50,超過50則丟棄. 如果加上--connlimit-mask 0 , 則表示所有ip與80端口的連接最大為50!)
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP

2)使用recent模塊限制同IP時間內新請求連接數。

下面策略表示:60秒有10個新連接,超過記錄日志。
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 
-j LOG --log-prefix 'DDOS:' --log-ip-options 

下面策略表示:60秒10個新連接,超過丟棄數據包
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP 

可以在iptables配置文件中
[root@localhost ~]# vim /etc/sysconfig/iptables    //刪除原來的內容輸入如下內容 保存
# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010
*filter
:INPUT DROP [385263:27864079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4367656:3514692346]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name WEB --rsource
-A INPUT -p tcp -m tcp --dport 80 -m state –-state NEW -m recent --update --seconds 5 --hitcount 20 --rttl --name WEB --rsource -j DROP
-A INPUT -p tcp -m multiport –-ports 21,22,80 -j ACCEPT
-A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m ttl -–ttl-eq 117 -j DROP
-A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m length --length 0:40 -j DROP
-A INPUT -p tcp -m tcp ! -–tcp-flags SYN,RST,ACK SYN -m state –-state NEW -j DROP
COMMIT
# Completed on Sun Dec 12 23:55:59 2017

以上配置,說明此設定僅對外開放21(FTP),22(SSH),80(http網站)三個TCP端口。設置80端口5秒內20個連接。

[root@localhost ~]# /etc/init.d/iptables restart


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM