LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 4248|回复: 6

求iptables连接限制设置

[复制链接]
发表于 2011-1-9 21:43:13 | 显示全部楼层 |阅读模式
请求帮忙,我的系统是centos 5.3
iptables版本v1.3.5
服务器运营游戏的,经常被别人使用假人攻击器或封包模拟成玩家登录的封包,在短时间内向服务器发送大量的连接导致正常玩家不能登录.
请教一下怎么设置成限制每个IP每秒最大连接数量,及在30秒内达到20次连接的自动丢弃该IP的所有数据包?
下面是我正在使用的iptables内容..
# Generated by iptables-save v1.3.5 on Sat Dec 25 18:30:44 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [197930:153549029]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -s 112.121.167.98 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -p icmp -j DROP
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 67 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Dec 25 18:30:44 2010

请有能力的人帮忙解决.
有偿解决也可以,请加QQ51773344,请明iptables设置
发表于 2011-1-10 11:12:11 | 显示全部楼层
可以使用iptables的limit模块。

参考: http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html
回复 支持 反对

使用道具 举报

发表于 2011-6-24 09:58:52 | 显示全部楼层
限制每个用户连接数 15
-A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
回复 支持 反对

使用道具 举报

发表于 2011-9-27 20:04:39 | 显示全部楼层

One cannot dine one’s cake and have it. ,Vibram Sprint Jaycee Dugard lawsuit observed getting a exten,Ed Hardy
回复 支持 反对

使用道具 举报

发表于 2011-11-8 21:09:37 | 显示全部楼层
Post by jacuro;2125370
可以使用iptables的limit模块。

参考: http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html


limit模块已经不能用了把
回复 支持 反对

使用道具 举报

发表于 2012-1-5 17:30:17 | 显示全部楼层
Post by deathshadow;2154615
limit模块已经不能用了把


安装psad,分析日志,联动,阻断,形成IPS系统,保护服务器
回复 支持 反对

使用道具 举报

发表于 2012-2-3 21:41:41 | 显示全部楼层
Post by deathshadow;2154615
limit模块已经不能用了把
limit 模块怎么了?

我们现在用的就是,只是这个限制负面影响比较大需要很多细微调整的地方
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表