iptables -P INPUT ACCEPT
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP
默认允许所有连接,限制每个IP连接80的数量为30个,超过直接丢弃。
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 30 --hitcount 30 -j LOG --log-prefix 'DDOS:' --log-ip-options
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 30 --hitcount 30 -j DROP
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT
每30秒超过30个连接记录日志并丢弃连接,日志记录在/proc/net/xt_recent/里面。
用csf的可以把上面的命令添加到/etc/csf/csfpre.sh里面,记得加执行权限:
chmod +x /etc/csf/csfpre.sh
No comments:
Post a Comment