在bsd下如果设置对同一IP地址一定时间连接频率限制？

startdd

例如对 同一个IP地址限制一分钟内不能连接超过200次（并非200并发），超过就断开其连接并且屏蔽此IP地址一分钟。

相同的问题在linux下可以用iptable实现，freebsd 下如何实现？

注：一分钟连接总数不能超过200次  （而不是超过200并发）

km

关注！！

startdd

zyme, quakelee, hdcola  不过来看看。

lihn

关注！

牛虻

顶

startdd

同上

dennis2

pf 应该可以实现类似的功能。下面一段引自 pf mailing list 上的一个 post:

1. 
   
2. On Mon, May 31, 2004 at 02:39:50AM +0200, Ed White wrote:
   
3. 
   
4. >; Playing with custom pf.conf I've understood that "source-track rule" and
   
5. >; "source-track global" permit to manage in a different way all the src IP
   
6. >; states, however I'd like to receive some confirms.
   
7. >;
   
8. >; 1) pass in quick inet proto tcp to port 25 keep state \
   
9. >; (source-track rule, max-src-nodes 100, max-src-states 2)
   
10. >;
    
11. >; This means that a max number of 100 IPs could connect and that each of them
    
12. >; could have a max number of 2 active connections to this port. Right ?
    
13. 
    
14. 
    
15. Yes.
    
16. 
    
17. 
    
18. 
    
19. >; 2) set limit src-nodes 3000
    
20. >; pass in quick inet proto tcp to port 80 keep state \
    
21. >; (source-track global, max-src-states 5)
    
22. >; pass in quick inet proto tcp to port 443 keep state \
    
23. >; (source-track global, max-src-states 2)
    
24. >;
    
25. >; This means that a max number of 3000 IPs could connect and that each one of
    
26. >; them could have a max number of 5 active connections to port 80 and a max
    
27. >; number of 2 active connections to port 443. Right ?
    
28. 
    
29. 
    
30. Yes.
    

复制代码

kinux

偶也在找解決方法..
自己用的是ipfw..
前几天有一个ip (210.83.207.247)在大连的不断的query(攻击)偶的dns      , 是udp旳攻击, 一秒钟大概有5个连接吧..
所以偶也在找可不可做一些连接数量的控制..
记得有朋友说iptable可以, 但偶是用bsd, pf好像也可以, 在freebsd的版本就不知有沒有那个功能了, 但openbsd版本是有防止sync_flood的功能的..


dnscache dnscache   129    5 udp4   192.168.1.5:11305   210.83.207.247:53
dnscache dnscache   129    6 udp4   192.168.1.5:13795   210.83.207.247:53
dnscache dnscache   129    7 udp4   192.168.1.5:39554   210.83.207.247:53
dnscache dnscache   129    8 udp4   192.168.1.5:47072   210.83.207.247:53
dnscache dnscache   129    9 udp4   192.168.1.5:58412   210.83.207.247:53
dnscache dnscache   129   10 udp4   192.168.1.5:6274    210.83.207.247:53
dnscache dnscache   129   11 udp4   192.168.1.5:3315    210.83.207.247:53
dnscache dnscache   129   12 udp4   192.168.1.5:41426   210.83.207.247:53
dnscache dnscache   129   13 udp4   192.168.1.5:38134   210.83.207.247:53
dnscache dnscache   129   14 udp4   192.168.1.5:23817   210.83.207.247:53
dnscache dnscache   129   15 udp4   192.168.1.5:14667   210.83.207.247:53
dnscache dnscache   129   16 udp4   192.168.1.5:56029   210.83.207.247:53
dnscache dnscache   129   17 udp4   192.168.1.5:58676   210.83.207.247:53

jeason2008

原帖由 "kinux" 发表：
诖罅?牟欢系膓uery(攻击)偶的dns      , 是udp旳攻击, 一秒钟大概有5个连接吧..
所以偶也在找可不可做一些连接数量的控制..
记得有朋友说iptable可以, 但偶是用bsd, pf好像也可以, 在freebsd的..........

老大找到一齐分享。

kinux

用openbsd的傢伙全不见了..
你们快给我出来回答pf的问题呀.... 弱智, llzqq