Image

知识库 → 设置 iptables 连接限制

[虚拟服务器]
出版日期: 27.01.2023

为了在操作系统级别保护服务器和服务免受洪泛,需要配置防火墙,设置同时连接数限制,我们将看看对某些服务的限制。 以此类推,您可以通过替换必要的端口来为您的服务添加规则。

ICMP

为了保护自己免受 icmp 洪水攻击,您需要添加每秒 ping 次数的限制:

-A INPUT -p icmp -m hashlimit --hashlimit-upto 6/sec --hashlimit-burst 4 --hashlimit-name icmp -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP

在此示例中,我们允许最多 4 个 ping,每秒最多 6 个。

HTTP 和 HTTPS

规则限制了同时连接的数量,这个数量可以调整以适合您的流量,并且需要注意的是,该值必须大于ddos deflate服务的规则中的值。

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

SSH

我们建议将默认端口从 22 更改为其他端口,例如 3022 等。 由于猜测密码的尝试如此之多,因此大多数连接都是通过 ssh 服务进行的。

-A INPUT -p tcp -m tcp --dport 3022 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

如果您有其他服务(例如邮件),请以类似的方式创建规则。





暂时没有评论