IPTABLES: ограничение количества параллельных соединений к серверу для одного IP
В предыдущих статьях, посвященных IPTABLES, мы занимались решением таких проблем как ограничение доступа по SSH и блокировка самых распространенных атак. Что касается ограничия количества параллельных соединений к серверу для одного IP, то здесь нам поможет модуль connlimit. Например, чтобы разрешить, к примеру, пять ssh-соединений на одного пользователя, следует воспользоваться командой:
|
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 5 -j REJECT |
Параметр connlimit-above 5 указывает на то, что правило начнет действовать в том случае, если количество соединений превысит указанное число.
Для установки количества портов используется следующее правило:
|
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP |
Параметр --connlimit-mask 24 указывает маску сети. Не забудьте использовать команду для сохранения правил:
|
service iptables save |
