为iptables增加connlimit模块 限制DOS攻击
程序员文章站
2022-06-01 16:59:46
为iptables增加connlimit模块 限制DOS攻击的方法,需要的朋友可以参考下。... 11-02-21...
注:2.6.23以前的内核版本默认不支持 connlimit
推荐规则
iptables -a input -p tcp -m tcp -m connlimit --dport 80 --tcp-flags syn,ack,fin,rst syn -j drop --connlimit-above 32 --connlimit-mask 32
如果/var/logs/message出现
ipt_connlimit: oops: invalid ct state ?
在这条规则前面加一条
iptables -a input -m conntrack -j drop --ctstate invalid
阻断非法数据包
查看效果
iptables -n -l -v |grep conn
17479 1033k drop tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn/32 > 32
推荐规则
iptables -a input -p tcp -m tcp -m connlimit --dport 80 --tcp-flags syn,ack,fin,rst syn -j drop --connlimit-above 32 --connlimit-mask 32
如果/var/logs/message出现
ipt_connlimit: oops: invalid ct state ?
在这条规则前面加一条
iptables -a input -m conntrack -j drop --ctstate invalid
阻断非法数据包
查看效果
iptables -n -l -v |grep conn
17479 1033k drop tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn/32 > 32
上一篇: shstart.exe - shstart是什么进程 有什么用
下一篇: 网络搜索夹对网站排名的妙用