iptables限制同一IP连接数，防防CC/DDOS攻击

Posted 2020-10-19 技术颜良

启动sftp本机的iptables防火墙功能，限制每个ip连接22端口（sftp连接端口即是ssh端口）最大为50个，当超过50后的连接数的流量就会被DROP掉！ 同时iptables需要开放50000-65535范围的端口的访问（linux系统最大的端口为65535）   [[email protected] ~]# cat /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT #-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP -A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT #-A INPUT -j REJECT --reject-with icmp-host-prohibited                                //注意这两行需要注释掉！否则设置的策略无效！ #-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT   =================================解释说明=========================================== 上面限制端口连接数主要用到的模块是connlimit。 -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP 说明输入的目标端口是22，也就是访问sftp本机22端口的流量，如果连接数大于50，则DROP流量，connlimit-above这个是连接数的统计， 如果大于50就满足条件，connlimit-mask这个是定义那组主机，此处跟的一个数值是网络位，即子网掩码，也就是connlimit-mask 0 这个ip组的连接数大于connlimit-above 50则DROP掉！   总体描述为流量过滤端口和连接数以及网络位，如果满足第一条，则拒绝，流量不再匹配下边的规则，如果不匹配，则第二条规则会允许流量。 --connlimit-mask 0 即子网掩码为0，表示所有的ip，也就是说不管什么ip，只要连接此服务器的22端口超过3个，则DROP。   如果将--connlimit-mask 0去掉，则子网掩码默认是32，也就是说某个ip连接此服务器的22端口超哥50个，则DROP掉！ 如果有51台机器，每台机器连接一个，则不会被DROP掉！   也就是说connlimit-above 3这个的数量所限制的区域是由--connlimit-mask 0而定！

================iptables限制同一IP连接数，防防CC/DDOS攻击================

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

1）限制与80端口连接的IP最大连接数为50，可自定义修改。 [[email protected] ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP   2）使用recent模块限制同IP时间内新请求连接数。   下面策略表示：60秒有10个新连接，超过记录日志。 [[email protected] ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix ‘DDOS:‘ --log-ip-options   下面策略表示：60秒10个新连接，超过丢弃数据包 [[email protected] ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP   可以在iptables配置文件中 [[email protected] ~]# vim /etc/sysconfig/iptables    //删除原来的内容输入如下内容 保存 # Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010 *filter :INPUT DROP [385263:27864079] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4367656:3514692346] -A INPUT -i lo -j ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT -A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name WEB –rsource -A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 5 –hitcount 20 –rttl –name WEB –rsource -j DROP -A INPUT -p tcp -m multiport –ports 21,22,80 -j ACCEPT -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m ttl –ttl-eq 117 -j DROP -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m length –length 0:40 -j DROP -A INPUT -p tcp -m tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP COMMIT # Completed on Sun Dec 12 23:55:59 2017   以上配置，说明此设定仅对外开放21(FTP),22(SSH),80(http网站）三个TCP端口。设置80端口5秒内20个连接。   [[email protected] ~]# /etc/init.d/iptables restar