为iptables增加connlimit模块 限制DOS攻击
程序员文章站
2023-11-01 08:12:46
为iptables增加connlimit模块 限制DOS攻击的方法,需要的朋友可以参考下。... 11-02-21...
注:2.6.23以前的内核版本默认不支持 connlimit
推荐规则
iptables -a input -p tcp -m tcp -m connlimit --dport 80 --tcp-flags syn,ack,fin,rst syn -j drop --connlimit-above 32 --connlimit-mask 32
如果/var/logs/message出现
ipt_connlimit: oops: invalid ct state ?
在这条规则前面加一条
iptables -a input -m conntrack -j drop --ctstate invalid
阻断非法数据包
查看效果
iptables -n -l -v |grep conn
17479 1033k drop tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn/32 > 32
推荐规则
iptables -a input -p tcp -m tcp -m connlimit --dport 80 --tcp-flags syn,ack,fin,rst syn -j drop --connlimit-above 32 --connlimit-mask 32
如果/var/logs/message出现
ipt_connlimit: oops: invalid ct state ?
在这条规则前面加一条
iptables -a input -m conntrack -j drop --ctstate invalid
阻断非法数据包
查看效果
iptables -n -l -v |grep conn
17479 1033k drop tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn/32 > 32
上一篇: Win7电脑Ping DNS时出现请求超时如何解决?
下一篇: PS利用风滤镜制作点点星光