Image

Base de connaissances → Configuration d'iptables pour la limite de connexion

[Serveurs virtuels]
Date de publication: 27.01.2023

Afin de protéger le serveur et les services contre les inondations au niveau du système d'exploitation, vous devez configurer un pare-feu, fixer des limites sur le nombre de connexions simultanées, nous examinerons les restrictions sur certains services. Par analogie, vous pouvez ajouter des règles pour vos services en remplaçant les ports nécessaires.

ICMP

Pour vous protéger contre les inondations icmp, vous devez ajouter une limite au nombre de pings par seconde :

-A INPUT -p icmp -m hashlimit --hashlimit-upto 6/sec --hashlimit-burst 4 --hashlimit-name icmp -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP

Dans cet exemple, nous autorisons un maximum de 4 pings, avec un maximum de 6 par seconde.

HTTP et HTTPS

Les règles limitent le nombre de connexions simultanées, ce nombre peut être ajusté en fonction de votre trafic, et il est à noter que la valeur doit être supérieure à celle dans les règles du service ddos deflate.

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

SSH

Nous vous recommandons de changer le port par défaut de 22 à un autre, par exemple 3022, etc. Comme il y a de nombreuses tentatives pour deviner les mots de passe, la plupart des connexions sont établies vers le service ssh.

-A INPUT -p tcp -m tcp --dport 3022 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

Si vous disposez d'autres services, tels que la messagerie, créez des règles de la même manière.





Aucun commentaire pour l'instant