| 关键词: limit iptables ICMP 防火墙 测试 报文 ACCEPT 参数 linux 主机 |
概述上篇文章介绍了关于iptables防火墙的日志记录,本期文章结合防DDos攻击场景分享iptables防火墙的高级应用——limit参数。 小试牛刀利用ping测试工具测试iptables防火墙limit参数。 测试步骤: 1、更改iptables防火墙INPUT、FORWORD和OUTPUT对应Chain(链)的默认策略为DROP(参考上期文章); 2、创建含有limit参数的策略并记录日志; iptables -N ICMP_ACCEPT_LIMIT iptables -A ICMP_ACCEPT_LIMIT -j LOG --log-prefix "ICMP_ACCEPT_LIMIT_Packet:" --log-level 4 iptables -A ICMP_ACCEPT_LIMIT -j ACCEPT #创建含有limit参数的策略; iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 6/m --limit-burst 2 -j ICMP_ACCEPT_LIMIT iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit 6/m --limit-burst 2 -j ICMP_ACCEPT_LIMIT 备注: -m limit: 启用limit扩展; –limit 6/m; 允许每分钟6个连接; –limit-burst 2: 只有当连接达到limit-burst值时才启用limit/m限制。 3、更改iptables日志存储文件(参考上期文章); 4、测试PC ping 测试linux系统并查看linux系统的iptables防火墙记录日志。 (1)、测试PC ping 10 个报文至Linux主机(192.168.1.195),如下图所示。 (2)、查看linux主机iptables防火墙日志记录文件,如下图所示。 22:36:42和22:36:43,linux主机收到测试PC的ICMP请求报文; 22:36:54和22:37:05,linux主机收到测试PC的ICMP请求报文; 22:36:43-22:36:54之间相差10秒; 22:36:54-22:37:05之间相差10秒; WHY? 22:36:42和22:36:43的请求报文数2个,达到了limit-burst值,从而触发了–limit 6/m参数设置(每分钟允许6个连接,即每10秒允许一个连接),因此在测试PC至linux主机的10个ping包过程中,产生了这样的现象。 总结iptables防火墙limit参数不但可限制ICMP协议,而且可限制TCP的建立,详情可参考上述案例。不足之处,欢迎各位小伙伴留言交流。 备注: --limit 6/m中m是minutes分钟的意思,当然还有其它的单位,如/second(秒)、/hour(小时)和/day(天)。 |
| 本文出处: https://www.toutiao.com/a6991483601153950246/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|