iptables限制同一IP鏈接數，防防CC/DDOS攻擊

啓動 sftp 本機的iptables防火牆功能，限制每一個ip鏈接22端口（ sftp 鏈接端口便是 ssh 端口）最大爲50個，當超過50後的鏈接數的流量就會被DROP掉！ 同時iptables須要開放50000-65535範圍的端口的訪問（linux系統最大的端口爲65535）   [root@localhost ~] # cat /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT #-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP -A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT #-A INPUT -j REJECT --reject-with icmp-host-prohibited                                //注意這兩行須要註釋掉！不然設置的策略無效！ #-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT   =================================解釋說明=========================================== 上面限制端口鏈接數主要用到的模塊是connlimit。 -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP 說明輸入的目標端口是22，也就是訪問 sftp 本機22端口的流量，若是鏈接數大於50，則DROP流量，connlimit-above這個是鏈接數的統計， 若是大於50就知足條件，connlimit-mask這個是定義那組主機，此處跟的一個數值是網絡位，即子網掩碼，也就是connlimit-mask 0 這個ip組的鏈接數大於connlimit-above 50則DROP掉！   整體描述爲流量過濾端口和鏈接數以及網絡位，若是知足第一條，則拒絕，流量再也不匹配下邊的規則，若是不匹配，則第二條規則會容許流量。 --connlimit-mask 0 即子網掩碼爲0，表示全部的ip，也就是說無論什麼ip，只要鏈接此服務器的22端口超過3個，則DROP。   若是將--connlimit-mask 0去掉，則子網掩碼默認是32，也就是說某個ip鏈接此服務器的22端口超哥50個，則DROP掉！ 若是有51臺機器，每臺機器鏈接一個，則不會被DROP掉！   也就是說connlimit-above 3這個的數量所限制的區域是由--connlimit-mask 0而定！

================iptables限制同一IP鏈接數，防防CC/DDOS攻擊================

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

1）限制與80端口鏈接的IP最大鏈接數爲50，可自定義修改。 [root@localhost ~] # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP   2）使用recent模塊限制同IP時間內新請求鏈接數。   下面策略表示：60秒有10個新鏈接，超過記錄日誌。 [root@localhost ~] # iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix  'DDOS:'  --log-ip-options   下面策略表示：60秒10個新鏈接，超過丟棄數據包 [root@localhost ~] # iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP   能夠在iptables配置文件中 [root@localhost ~] # vim /etc/sysconfig/iptables    //刪除原來的內容輸入以下內容 保存 # Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010 *filter :INPUT DROP [385263:27864079] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4367656:3514692346] -A INPUT -i lo -j ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT -A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent – set  –name WEB –rsource -A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 5 –hitcount 20 –rttl –name WEB –rsource -j DROP -A INPUT -p tcp -m multiport –ports 21,22,80 -j ACCEPT -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m ttl –ttl- eq  117 -j DROP -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m length –length 0:40 -j DROP -A INPUT -p tcp -m tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP COMMIT # Completed on Sun Dec 12 23:55:59 2017   以上配置，說明此設定僅對外開放21(FTP),22(SSH),80(http網站）三個TCP端口。設置80端口5秒內20個鏈接。   [root@localhost ~] # /etc/init.d/iptables restar