网络安全并发数限制与连接频率限制

1.网络防护，限制单ip的并发数与单位时间内的会话数

iptables规则如下：

iptables -t filter -N NET_DEFEND        # 创建自定义规则链
iptables -t filter -I INPUT -p tcp --dport 80 -j NET_DEFEND      # 引用之前创建的自定义规则链
ipset create concurrent_limit_list_IPv4 hash:ip timeout 60 # 使用ipset 创建iptables的ip集合
# 并发数限制：
iptables -A NET_DEFEND -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -m set ! --match-set concurrent_limit_list_IPv4 src -j LOG --log-prefix "iptables: cocurrent limit: "
iptables -A NET_DEFEND -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -j SET --add-set concurrent_limit_list_IPv4 src
iptables -A NET_DEFEND -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -j DROP


#连接频率限制：
iptables -t filter -N NET_DEFEND        # 创建自定义规则链
iptables -t filter -I INPUT -p tcp --dport 80 -j NET_DEFEND      # 引用之前创建的自定义规则链
ipset create connection_limit_list_IPv4 hash:ip timeout 60
-A NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -m set ! --match-set connection_limit_list_IPv4 src -j LOG --log-prefix "iptables: rate limit: "
-A NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -j SET --add-set connection_limit_list_IPv4 src
-A NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP
-A NET_DEFEND -m state --state NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource



# 删除规则
iptables -D NET_DEFEND -m state --state NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource
iptables -D NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP
iptables -D NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -j SET --add-set connection_limit_list_IPv4 src
iptables -D NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -m set ! --match-set connection_limit_list_IPv4 src -j LOG --log-prefix "iptables: rate limit: "
# 删除ipset规则
ipset destroy connection_limit_list_IPv4 hash:ip timeout 60
# 删除规则
iptables -t filter -D INPUT -p tcp --dport 80 -j NET_DEFEND    
# 删除规则链
ipset -X NET_DEFEND

参数解释：

-p协议 
-m module_name：
-m tcp 的意思是使用 tcp 扩展模块的功能 (tcp扩展模块提供了 –dport, –tcp-flags, –sync等功能）

recent模块：
–name #设定列表名称，默认DEFAULT。
–rsource #源地址，此为默认。
–rdest #目的地址
–seconds #指定时间内
–hitcount #命中次数
–set #将地址添加进列表，并更新信息，包含地址加入的时间戳。
–rcheck #检查地址是否在列表，以第一个匹配开始计算时间。
–update #和rcheck类似，以最后一个匹配计算时间。
–remove #在列表里删除相应地址，后跟列表名称及地址

connlimit功能：
connlimit模块允许你限制每个客户端IP的并发连接数，即每个IP同时连接到一个服务器个数。
connlimit模块主要可以限制内网用户的网络使用，对服务器而言则可以限制每个IP发起的连接数。
–connlimit-above n 　　　＃限制为多少个
–connlimit-mask n 　　　 ＃这组主机的掩码,默认是connlimit-mask 32 ,即每个IP.

iptables参考网站：

https://www.zsythink.net/archives/1564

https://cloud.tencent.com/developer/article/1139849