请教关于iptables 防CC的策略。

cnmt

请教关于iptables 防CC的策略。
在网上找到的：
1)控制单个IP的最大并发连接数

iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
#默认iptables模块不包含connlimit,需要自己单独编译加载，请参考该地址
http://sookk8.blog.51cto.com/455855/280372不编译内核加载connlimit模块


(2)控制单个IP在一定的时间（比如60秒）内允许新建立的连接数

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
#单个IP在60秒内只允许最多新建30个连接
---------------------------------------------------------------------------------------------------------------------------------------


共三行代码。最上和最下面执行都没问题。。。中间的执行提示：iptables: Invalid argument. Run `dmesg' for more information.

是什么情况。谢谢。

井蛙夏虫

回复 1# cnmt
在我的系统上(fedora 16):
man iptables

1. --hitcount hits
   
2.               This option must be used in conjunction with one of --rcheck or --update. When used, this will narrow the  match  to  only  happen
   
3.               when  the  address  is in the list and packets had been received greater than or equal to the given value. This option may be used
   
4.               along with --seconds to create an even narrower match requiring a certain number of hits within a specific time frame.The maximum
   
5.               value  for the hitcount parameter is given by the "ip_pkt_list_tot" parameter of the xt_recent kernel module. Exceeding this value
   
6.               on the command line will cause the rule to be rejected.
   

复制代码

1. The module itself accepts parameters, defaults shown:
   
2. ip_pkt_list_tot=20
   
3.               Number of packets per address remembered.

复制代码

cnmt

回复 2# 井蛙夏虫


请大虾指明。新手。看不懂。
   

lolizeppelin

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 20 --rttl --name SSH --rsource -j DROP

我的ssh策略

357749340

受教了。。。

cnmt

lolizeppelin 发表于 2013-07-04 14:45
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPU ...

朋友。我要的是防CC的。

lolizeppelin

cnmt 发表于 2013-07-05 09:36
朋友。我要的是防CC的。

大哥你不会照着改啊?还要我吧端口改成你的啊

cnmt

lolizeppelin 发表于 2013-07-05 09:48
大哥你不会照着改啊?还要我吧端口改成你的啊

你这不是SSH的吗。

lolizeppelin

--name 这个是随便你自己写的，你想写ssh就ssh，想写其他的就写其他的....
和你后面drop规则里的name对应就可以了

cnmt

lolizeppelin 发表于 2013-07-05 10:55
--name 这个是随便你自己写的，你想写ssh就ssh，想写其他的就写其他的....
和你后面drop规则里的name对应就 ...

好人帮到底。你帮我改一下得了。我存新手。