IPTableを使用してソースIPごとのICMPを制限する


9

制限モジュールはソースIPごとであると誤って考えましたが、すべてのリクエストに基づいているようです:

  577 36987 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/sec burst 5 
   46  3478 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 LOG flags 0 level 4 prefix `INET-PING-DROP:' 
   46  3478 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
    ...
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/sec burst 5 
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 LOG flags 0 level 4 prefix `WEB-PING-DROP:' 
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 

ソースIPアドレスに基づいてiptables / netfilterでicmpをレート制限するにはどうすればよいですか?

回答:


5

ヒントについてまだ疑問に思っていた場合:

iptables -I INPUT -p icmp -m hashlimit --hashlimit-name icmp --hashlimit-mode srcip --hashlimit 3/second --hashlimit-burst 5 -j ACCEPT

INPUTの最後のルールがドロップであるか、デフォルトのポリシーがDROPであると想定します。各IPは、1秒あたり3 pingに制限されています(バースト5)。-m limitで検出したように、すべての着信IPが合計されるわけではありません。


今、この受け入れは本当に「メタ」です!
オービットのライトネスレース2013年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.