Giới hạn ICMP trên mỗi IP nguồn với IPTables

9

Tôi đã nhầm tưởng rằng mô-đun giới hạn là trên mỗi ip nguồn, nhưng nó dường như được dựa trên tất cả các yêu cầu:

  577 36987 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/sec burst 5 
   46  3478 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 LOG flags 0 level 4 prefix `INET-PING-DROP:' 
   46  3478 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
    ...
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/sec burst 5 
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 LOG flags 0 level 4 prefix `WEB-PING-DROP:' 
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

Làm cách nào tôi có thể xếp hạng giới hạn icmp với iptables / netfilter dựa trên địa chỉ IP nguồn?

linux  networking  iptables  router 
Kyle Brandt
nguồn

Câu trả lời:

5

Nếu bạn vẫn đang tự hỏi cho một gợi ý:

iptables -I INPUT -p icmp -m hashlimit --hashlimit-name icmp --hashlimit-mode srcip --hashlimit 3/second --hashlimit-burst 5 -j ACCEPT

Giả sử quy tắc cuối cùng trong INPUT là thả hoặc chính sách mặc định là DROP. Mỗi ip được giới hạn ở 3 ping một giây (nổ 5). Không phải tất cả các IP đến, như bạn đã tìm thấy với giới hạn -m.

Nô-ê
nguồn
Bây giờ sự chấp nhận này thực sự là "meta"!
Các cuộc đua nhẹ nhàng trong quỹ đạo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.