微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

防火墙 – 当服务器从中接收到大量数据时禁止IP

分类:Linux作者:编程之家
我需要的 :

根据每个时间段的请求量添加丢弃规则有很多结果,但我需要在一段时间内从特定地址接收字节数.

我调查的内容

我看了iptables:对于第一种情况,我看到了一个专用的match.我也看到了quota match但是,数据计数在全球范围内被跟踪.
我不知道如何混合这两个规则来跟踪每个IP的接收数据.

其他事情 :

我知道跟踪每个IP的字节数可以使用大量内存,这就是为什么我也希望保持周期短.
我可以接受其他方法,只要有一个详细的例子.

解决方法

您可以将IPSET与超时和计数器选项一起使用.
这看起来像这样: 
#create ipset for accounting with default lifetime 300 secs
ipset create IP_QUOTA_SET hash:ip timeout 300 counters

#create separated rule chain
iptables --new-chain PER_IP_QOUTING

#send packets to chain
iptables -t filter -A INPUT \
  -i <in-iface> --dst <ip>  \
  -p tcp --dport <dstport>  \
  -j PER_IP_QUOTING

#if ip doesn't exist in the set,add it
iptables -t filter -A PER_IP_QUOTING    \
  -m set ! --match-set IP_QUOTA_SET src \
  -j SET --add-set IP_QUOTA_SET src --timeout 300

#if packet exists in the set,check bytes
#if byte counter > quota then close connection
#by sending of tcp-reset packet.
iptables -t filter -A PER_IP_QUOTING    \
  -m set --match-set IP_QUOTA_SET src   \
  --bytes-gt 1000 -j REJECT --reject-with tcp-rst

#pass other packets (for debug purpose)
iptables -t filter -A PER_IP_QUOTING \
  -j RETURN

在这种情况下,您可以检查列表并通过ipset命令进行编辑.
显示包含计数器和超时的当前列表:ipset list IP_QUOTA_SET.

有关详细信息,请阅读文档

原文地址:https://www.jb51.cc/linux/398684.html

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

Linux ARP防火墙效果怎样
Linux中的ARP防火墙主要用于防御ARP欺骗攻击,其效果取决于多种因素,包括实施方式、系统配置以及攻击者的技术能力。以下是对Linux ARP防火墙效果及安全性的分析:### Linux AR...
[Ubuntu] insmod和modprobe加-f参数导致Invalid module format错误
insmod和modprobe加-f参数导致Invalid module format错误 这几天做Linux驱动相关实验遇到的一个奇怪的现象。 在Ubuntu系统下使用insmod或modprobe可以正常加载的模块,在加上-f选项后就会出现Invalid module format错误。并且这个
[Linux]将ArchLinux安装到U盘
将ArchLinux安装到U盘 几个月前入门Arch的时候上网搜了不少安装教程,同时由于当时硬盘空间不太够于是就打算安装到U盘上,也因此踩了不少坑。 但128G的U盘都拿来装Arch的话未免也太浪费了一些,所以本篇教程也会演示如何保留一部分空间,使其继续保留U盘的功能。 写这篇博客也主要是因为,这两
基于LAMP搭建WordPress博客
1、安装Apache。 1)执行如下命令,安装Apache服务及其扩展包。 yum -y install httpd mod_ssl mod_perl mod_auth_mysql 2)执行如下命令,查看Apache是否安装成功。 httpd -v 3)执行如下命令,启动Apache服务。 syst
ansible批量采集、批量互信、批量复制、分发文件
一、先说一下用ansible批量采集机器信息的实现办法: 1、先把要采集的机器信息的IP添加到主节点机器的/etc/ansible/hosts里面; 2、在/etc/ansible/hosts里面添加想要登陆的密码和账号: [test] 192.168.192.77 192.168.192.78 1
vsftpd配置FTP服务器(Centos7.x安装)
安装配置 1. 安装vsftpd 检查是否安装了vsftpd # rpm -qa | grep vsftpdvsftpd-2.2.2-24.el6.x86_64 如果有展示则已经安装,不需要重新安装 安装vsftpd yum -y install vsftpd //-y表示不用输入确定,直接一路安装
抑制stable_secret读取关键信息
如何抑制stable_secret读取关键的“net.ipv6.conf.all.stable_secret”消息? 您可以/dev/null使用以下命令抑制额外的不需要的消息或将其重定向 [root@master ~]# sysctl -a --ignore 2&gt;/dev/null | gr
Linux值得收藏的40个命令总结,常用的正则表达式
1 删除0字节文件 find -type f -size 0 -exec rm -rf {} \; 2 查看进程 按内存从大到小排列 PS -e -o &quot;%C : %p : %z : %a&quot;|sort -k5 -nr 3 按 CPU 利用率从大到小排列 ps -e -o &quo
在Centos7上安装PXE装机环境来批量安装操作系统
## 步骤 1:安装必要的软件包 首先,需要确保系统已安装 `dhcp`、`tftp-server` 和 `httpd` 等软件包。可以使用以下命令进行安装: ```bash yum install -y dhcp tftp-server httpd syslinux-tftpboot xinetd
Linux系统解压zip包出现中文乱码问题
1. 使用指定GBK编码格式进行解压可以使用如下指定编码格式进行解压。 unzip -O GBK 资料.zip 或者使用CP936也是可以指定GBK编码格式进行解压 unzip -O CP936 资料.zip 2. 使用环境变量指定压缩/解压缩编码格式在环境变量中,指定unzip参数,总是以指定的字
苹果市值2025年有望达4万亿美元
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot