ज्ञानधार → कनेक्शन सीमा के लिए iptables सेट करना

प्रकाशन तिथि: 27.01.2023

ऑपरेटिंग सिस्टम स्तर पर सर्वर और सेवाओं को बाढ़ से बचाने के लिए, आपको फ़ायरवॉल को कॉन्फ़िगर करने की आवश्यकता है, एक साथ कनेक्शन की संख्या पर सीमा निर्धारित करें, हम कुछ सेवाओं पर प्रतिबंधों को देखेंगे। सादृश्य से, आप आवश्यक पोर्ट को प्रतिस्थापित करके अपनी सेवाओं के लिए नियम जोड़ सकते हैं।

ICMP

आईसीएमपी बाढ़ से खुद को बचाने के लिए, आपको प्रति सेकंड पिंग की संख्या पर एक सीमा जोड़ने की आवश्यकता है:

-A INPUT -p icmp -m hashlimit --hashlimit-upto 6/sec --hashlimit-burst 4 --hashlimit-name icmp -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP

इस उदाहरण में, हम अधिकतम 4 पिंग की अनुमति दे रहे हैं, अधिकतम 6 प्रति सेकंड।

HTTP и HTTPS

नियम एक साथ कनेक्शन की संख्या को सीमित करते हैं, इस संख्या को आपके ट्रैफ़िक के अनुरूप समायोजित किया जा सकता है, और यह ध्यान दिया जाना चाहिए कि मूल्य डीडीओएस डिफ्लेट सेवा के नियमों से अधिक होना चाहिए।

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

SSH

हम डिफ़ॉल्ट पोर्ट को 22 से दूसरे में बदलने की सलाह देते हैं, उदाहरण के लिए 3022, आदि। चूंकि पासवर्ड का अनुमान लगाने के बहुत सारे प्रयास होते हैं, इसलिए अधिकांश कनेक्शन एसएसएच सेवा से किए जाते हैं।

-A INPUT -p tcp -m tcp --dport 3022 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

यदि आपके पास मेल जैसी अन्य सेवाएँ हैं, तो इसी तरह नियम बनाएँ।

No Comments Yet