之前在公司服務器上部署了sftp,用於上傳業務系統的附件。后來由於程序連接問題,使的sftp連接數過多(最多時高達400多個sftp連接數),因為急需要對sftp的連接數做嚴格限制。操作記錄如下:
啟動sftp本機的iptables防火牆功能,限制每個ip連接22端口(sftp連接端口即是ssh端口)最大為50個,當超過50后的連接數的流量就會被DROP掉! 同時iptables需要開放50000-65535范圍的端口的訪問(linux系統最大的端口為65535) [root@localhost ~]# cat /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT #-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP -A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT #-A INPUT -j REJECT --reject-with icmp-host-prohibited //注意這兩行需要注釋掉!否則設置的策略無效! #-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT =================================解釋說明=========================================== 上面限制端口連接數主要用到的模塊是connlimit。 -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP 說明輸入的目標端口是22,也就是訪問sftp本機22端口的流量,如果連接數大於50,則DROP掉流量! connlimit-above這個是連接數的統計, 如果大於50就滿足條件,connlimit-mask這個是定義那組主機,此處跟的一個數值是網絡位,即子網掩碼,也就是connlimit-mask 0 這個ip組的連接數 大於connlimit-above 50 則DROP掉! 總體描述為流量過濾端口和連接數以及網絡位,如果滿足第一條,則拒絕,流量不再匹配下邊的規則,如果不匹配,則第二條規則會允許流量。 --connlimit-mask 0 即子網掩碼為0,表示所有的ip,也就是說不管來源是什么ip,只要連接此服務器的22端口總數超過50個,則DROP掉流量! 如果將--connlimit-mask 0去掉,則子網掩碼默認是32,這是針對單個ip或某一個具體ip連接此服務器的22端口超過50個,則DROP掉! 如果有51台機器,每台機器連接一個,則不會被DROP掉!因為這種情況是針對單個ip連接數限制 (單個ip的連接超過50才被drop) 也就是說connlimit-above 50這個的數量所限制的區域是由--connlimit-mask 0而定!
=============iptables利用connlimit模塊限制同一IP連接數==============
connlimit功能: connlimit模塊允許限制每個客戶端IP的並發連接數,即每個IP同時連接到一個服務器個數。 connlimit模塊主要可以限制內網用戶的網絡使用,對服務器而言則可以限制每個IP發起的連接數。 connlimit參數: --connlimit-above n #限制為多少個 --connlimit-mask n #這組主機的掩碼,默認是connlimit-mask 32 ,即每個IP. 示例說明: 1) 限制同一IP同時最多100個http連接 # iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT 或者 # iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT 2) 只允許每組C類IP同時100個http連接 # iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 24 -j REJECT 3) 只允許每個IP同時5個80端口轉發,超過的丟棄 # iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP 4) 限制某IP最多同時100個http連接 # iptables -A INPUT -s 172.16.60.51 -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT 5) 限制每IP在一定的時間(比如60秒)內允許新建立最多100個http連接數 # iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 100 -j REJECT # iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
=============使用sftp或ftp協議上傳文件,上傳文件大小為0=============
客戶端上傳報錯:error while writing: received failure with description 'Failure'
服務器端/var/log/message報錯:sftp-server[15747]: error: process_write: write failed
造成這個錯誤大致就兩個原因:
1) ulimit限制.
在sftp連接使用的賬號下增大ulimit的值
# ulimit -n 65535
2) 磁盤空間不夠了
======================iptables限制同一IP連接數,預防CC/DDOS攻擊======================
1)限制與80端口連接的IP最大連接數為50,可自定義修改。(這里指的是每個ip與80端口的連接數最大為50,超過50則丟棄. 如果加上--connlimit-mask 0 , 則表示所有ip與80端口的連接最大為50!) [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP 2)使用recent模塊限制同IP時間內新請求連接數。 下面策略表示:60秒有10個新連接,超過記錄日志。 [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options 下面策略表示:60秒10個新連接,超過丟棄數據包 [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP 可以在iptables配置文件中 [root@localhost ~]# vim /etc/sysconfig/iptables //刪除原來的內容輸入如下內容 保存 # Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010 *filter :INPUT DROP [385263:27864079] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4367656:3514692346] -A INPUT -i lo -j ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name WEB --rsource -A INPUT -p tcp -m tcp --dport 80 -m state –-state NEW -m recent --update --seconds 5 --hitcount 20 --rttl --name WEB --rsource -j DROP -A INPUT -p tcp -m multiport –-ports 21,22,80 -j ACCEPT -A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m ttl -–ttl-eq 117 -j DROP -A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m length --length 0:40 -j DROP -A INPUT -p tcp -m tcp ! -–tcp-flags SYN,RST,ACK SYN -m state –-state NEW -j DROP COMMIT # Completed on Sun Dec 12 23:55:59 2017 以上配置,說明此設定僅對外開放21(FTP),22(SSH),80(http網站)三個TCP端口。設置80端口5秒內20個連接。 [root@localhost ~]# /etc/init.d/iptables restart