linux – 如何使用iptables对SSH连接进行速率限制?
发布时间:2020-12-13 17:14:25 所属栏目:Linux 来源:网络整理
导读:我试图限制可能的SSH连接到我的服务器的数量,但它似乎每次锁定我.我对iptables并不是很熟悉,但我一直在阅读我需要应用于限制连接的规则,但没有成功.这是我的iptables配置文件: :INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [28130:3096101]:RH-
我试图限制可能的SSH连接到我的服务器的数量,但它似乎每次锁定我.我对iptables并不是很熟悉,但我一直在阅读我需要应用于限制连接的规则,但没有成功.这是我的iptables配置文件:
:INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [28130:3096101] :RH-Firewall-1-INPUT - [0:0] :WebServices - [0:0] -A INPUT -p tcp --dport 2020 -m state --state NEW -m recent --set --name SSH -A INPUT -p tcp --dport 2020 -m state --state NEW -m recent --update --seconds 120 --hitcount 8 --rttl --name SSH -j DROP -A INPUT -j WebServices -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p esp -j ACCEPT -A RH-Firewall-1-INPUT -p ah -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited -A WebServices -p tcp -m tcp --dport 8088 -j ACCEPT -A WebServices -p tcp -m tcp --dport 443 -j ACCEPT -A WebServices -p tcp -m tcp --dport 80 -j ACCEPT COMMIT 我认为前2条规则应该阻止从主机建立的任何新连接,如果它们在2分钟内超过8个连接,但它只是将端口锁定在一起.我究竟做错了什么? 解决方法
只需添加以下内容:
-A INPUT -p tcp --dport 2020 -m state --state NEW -j ACCEPT ……就在这两行之后: -A INPUT -p tcp --dport 2020 -m state --state NEW -m recent --set --name SSH -A INPUT -p tcp --dport 2020 -m state --state NEW -m recent --update --seconds 120 --hitcount 8 --rttl --name SSH -j DROP 此外,你应该考虑一个cron任务,它将不时清理你的/ proc / net / ipt_recent / SSH(ipt_recent在新平台上可能是xt_recent),以防你被锁定. 编辑:你的规则排序对我来说有点奇怪,如果我是你,我会用这样的东西: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # Loopback interface -A INPUT -i lo -j ACCEPT # ICMP traffic -A INPUT -p icmp --icmp-type any -j ACCEPT # Already established connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH -A INPUT -p tcp --dport 2020 -m state --state NEW -m recent --set --name SSH -A INPUT -p tcp --dport 2020 -m state --state NEW -m recent --update --seconds 120 --hitcount 8 --rttl --name SSH -j DROP -A INPUT -p tcp --dport 2020 -m state --state NEW -j ACCEPT # Web services -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT -A INPUT -p tcp --dport 8088 -m state --state NEW -j ACCEPT # Reject everything else -A INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |