增加connlimit模块规则限制DOS攻击

2.6.23内核以前的编译方法,详见http://ihipop.info/2010/06/1288.html

推荐规则

[bash]iptables -A INPUT -p tcp -m tcp -m connlimit --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -j DROP --connlimit-above 32 --connlimit-mask 32
[/bash]
如果/var/logs/message出现

ipt_connlimit: Oops: invalid ct state ?

在这条规则前面加一条
[bash]iptables -A INPUT -m conntrack -j DROP --ctstate INVALID[/bash]
阻断非法数据包

查看效果
[bash]iptables -n -L -v |grep conn
[/bash]

17479 1033K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn/32 > 32

Author Info :
  • From:增加connlimit模块规则限制DOS攻击
  • URL:https://blog.ihipop.com/2010/06/1296.html
  • Please Reserve This Link,Thanks!

    • 知识共享许可协议
    本作品采用知识共享署名-非商业性使用 3.0 Unported许可协议进行许可。

    相关阅读

    《增加connlimit模块规则限制DOS攻击》上有1条评论

    发表回复

    您的电子邮箱地址不会被公开。 必填项已用 * 标注