1.限制与80端口连接的IP最大连接数为10,可自定义修改。

iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 10 -j DROP

2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用

iptables -A INPUT -p tcp –dport 80 –syn -m recent –name webpool –rcheck –seconds 60 –hitcount 10 -j LOG –log-prefix ‘DDOS:’ –log-ip-options
#60秒10个新连接,超过记录日志。
iptables -A INPUT -p tcp –dport 80 –syn -m recent –name webpool –rcheck –seconds 60 –hitcount 10 -j DROP
#60秒10个新连接,超过丢弃数据包。
iptables -A INPUT -p tcp –dport 80 –syn -m recent –name webpool –set -j ACCEPT
#范围内允许通过。

发表评论

电子邮件地址不会被公开。 必填项已用*标注