iptables限制鏈接數(如SFTP) 以及謹防CC/DDOS攻擊的配置 ( connlimit模塊)

時間 2019-11-10

標籤 iptables 限制鏈接 sftp 以及謹防 ddos 攻擊配置 connlimit 模塊欄目系統網絡简体版

原文原文鏈接

以前在公司服務器上部署了sftp，用於上傳業務系統的附件。後來因爲程序鏈接問題，使的sftp鏈接數過多（最多時高達400多個sftp鏈接數），由於急須要對sftp的鏈接數作嚴格限制。操做記錄以下：linux

啓動sftp本機的iptables防火牆功能，限制每一個ip鏈接22端口（sftp鏈接端口便是ssh端口）最大爲50個，當超過50後的鏈接數的流量就會被DROP掉！
同時iptables須要開放50000-65535範圍的端口的訪問（linux系統最大的端口爲65535）

[root@localhost ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
#-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT
#-A INPUT -j REJECT --reject-with icmp-host-prohibited                                //注意這兩行須要註釋掉！不然設置的策略無效！
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

=================================解釋說明===========================================
上面限制端口鏈接數主要用到的模塊是connlimit。
-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP

說明輸入的目標端口是22，也就是訪問sftp本機22端口的流量，若是鏈接數大於50，則DROP掉流量! 
connlimit-above這個是鏈接數的統計，

若是大於50就知足條件，connlimit-mask這個是定義那組主機，此處跟的一個數值是網絡位，即子網掩碼，也就是connlimit-mask 0 這個ip組的鏈接數
大於connlimit-above 50 則DROP掉！

整體描述爲流量過濾端口和鏈接數以及網絡位，若是知足第一條，則拒絕，流量再也不匹配下邊的規則，若是不匹配，則第二條規則會容許流量。
--connlimit-mask 0 即子網掩碼爲0，表示全部的ip，也就是說無論來源是什麼ip，只要鏈接此服務器的22端口總數超過50個，則DROP掉流量!

若是將--connlimit-mask 0去掉，則子網掩碼默認是32，這是針對單個ip或某一個具體ip鏈接此服務器的22端口超過50個，則DROP掉！
若是有51臺機器，每臺機器鏈接一個，則不會被DROP掉！由於這種狀況是針對單個ip鏈接數限制 (單個ip的鏈接超過50才被drop)

也就是說connlimit-above 50這個的數量所限制的區域是由--connlimit-mask 0而定！

=============iptables利用connlimit模塊限制同一IP鏈接數==============web

connlimit功能：
   connlimit模塊容許限制每一個客戶端IP的併發鏈接數，即每一個IP同時鏈接到一個服務器個數。
   connlimit模塊主要能夠限制內網用戶的網絡使用，對服務器而言則能夠限制每一個IP發起的鏈接數。
 
connlimit參數：
　　--connlimit-above n 　　　＃限制爲多少個
　　--connlimit-mask n 　　　 ＃這組主機的掩碼,默認是connlimit-mask 32 ,即每一個IP.
 
示例說明:
1) 限制同一IP同時最多100個http鏈接
# iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT
或者
# iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT

2) 只容許每組C類IP同時100個http鏈接
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 24 -j REJECT

3) 只容許每一個IP同時5個80端口轉發,超過的丟棄
# iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP

4) 限制某IP最多同時100個http鏈接
# iptables -A INPUT -s 172.16.60.51 -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT

5) 限制每IP在必定的時間(好比60秒)內容許新創建最多100個http鏈接數
# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 100 -j REJECT
# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

=============使用sftp或ftp協議上傳文件,上傳文件大小爲0=============
客戶端上傳報錯:error while writing: received failure with description 'Failure'
服務器端/var/log/message報錯:sftp-server[15747]: error: process_write: write failed vim

形成這個錯誤大體就兩個緣由：
1) ulimit限制.
在sftp鏈接使用的帳號下增大ulimit的值
# ulimit -n 65535
2) 磁盤空間不夠了bash

======================iptables限制同一IP鏈接數，預防CC/DDOS攻擊======================服務器

1）限制與80端口鏈接的IP最大鏈接數爲50，可自定義修改。(這裏指的是每一個ip與80端口的鏈接數最大爲50,超過50則丟棄. 若是加上--connlimit-mask 0 , 則表示全部ip與80端口的鏈接最大爲50!)
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP

2）使用recent模塊限制同IP時間內新請求鏈接數。

下面策略表示：60秒有10個新鏈接，超過記錄日誌。
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 
-j LOG --log-prefix 'DDOS:' --log-ip-options 

下面策略表示：60秒10個新鏈接，超過丟棄數據包
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP 

能夠在iptables配置文件中
[root@localhost ~]# vim /etc/sysconfig/iptables    //刪除原來的內容輸入以下內容 保存
# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010
*filter
:INPUT DROP [385263:27864079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4367656:3514692346]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name WEB --rsource
-A INPUT -p tcp -m tcp --dport 80 -m state –-state NEW -m recent --update --seconds 5 --hitcount 20 --rttl --name WEB --rsource -j DROP
-A INPUT -p tcp -m multiport –-ports 21,22,80 -j ACCEPT
-A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m ttl -–ttl-eq 117 -j DROP
-A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m length --length 0:40 -j DROP
-A INPUT -p tcp -m tcp ! -–tcp-flags SYN,RST,ACK SYN -m state –-state NEW -j DROP
COMMIT
# Completed on Sun Dec 12 23:55:59 2017

以上配置，說明此設定僅對外開放21(FTP),22(SSH),80(http網站）三個TCP端口。設置80端口5秒內20個鏈接。

[root@localhost ~]# /etc/init.d/iptables restart