啟動
sftp
本機的iptables防火牆功能,限制每個ip連接22端口(
sftp
連接端口即是
ssh
端口)最大為50個,當超過50后的連接數的流量就會被DROP掉!
同時iptables需要開放50000-65535范圍的端口的訪問(linux系統最大的端口為65535)
[root@localhost ~]
# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
#-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP
-A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT
#-A INPUT -j REJECT --reject-with icmp-host-prohibited //注意這兩行需要注釋掉!否則設置的策略無效!
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
=================================解釋說明===========================================
上面限制端口連接數主要用到的模塊是connlimit。
-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP
說明輸入的目標端口是22,也就是訪問
sftp
本機22端口的流量,如果連接數大於50,則DROP流量,connlimit-above這個是連接數的統計,
如果大於50就滿足條件,connlimit-mask這個是定義那組主機,此處跟的一個數值是網絡位,即子網掩碼,也就是connlimit-mask 0 這個ip組的連接數大於connlimit-above 50則DROP掉!
總體描述為流量過濾端口和連接數以及網絡位,如果滿足第一條,則拒絕,流量不再匹配下邊的規則,如果不匹配,則第二條規則會允許流量。
--connlimit-mask 0 即子網掩碼為0,表示所有的ip,也就是說不管什么ip,只要連接此服務器的22端口超過3個,則DROP。
如果將--connlimit-mask 0去掉,則子網掩碼默認是32,也就是說某個ip連接此服務器的22端口超哥50個,則DROP掉!
如果有51台機器,每台機器連接一個,則不會被DROP掉!
也就是說connlimit-above 3這個的數量所限制的區域是由--connlimit-mask 0而定!
|
================iptables限制同一IP連接數,防防CC/DDOS攻擊================
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
|
1)限制與80端口連接的IP最大連接數為50,可自定義修改。
[root@localhost ~]
# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
2)使用recent模塊限制同IP時間內新請求連接數。
下面策略表示:60秒有10個新連接,超過記錄日志。
[root@localhost ~]
# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10
-j LOG --log-prefix
'DDOS:'
--log-ip-options
下面策略表示:60秒10個新連接,超過丟棄數據包
[root@localhost ~]
# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP
可以在iptables配置文件中
[root@localhost ~]
# vim /etc/sysconfig/iptables //刪除原來的內容輸入如下內容 保存
# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010
*filter
:INPUT DROP [385263:27864079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4367656:3514692346]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –
set
–name WEB –rsource
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 5 –hitcount 20 –rttl –name WEB –rsource -j DROP
-A INPUT -p tcp -m multiport –ports 21,22,80 -j ACCEPT
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m ttl –ttl-
eq
117 -j DROP
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m length –length 0:40 -j DROP
-A INPUT -p tcp -m tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP
COMMIT
# Completed on Sun Dec 12 23:55:59 2017
以上配置,說明此設定僅對外開放21(FTP),22(SSH),80(http網站)三個TCP端口。設置80端口5秒內20個連接。
[root@localhost ~]
# /etc/init.d/iptables restar
|