• iptables限制连接数(如SFTP) 以及 谨防CC/DDOS攻击的配置 ( connlimit模块)


    之前在公司服务器上部署了sftp,用于上传业务系统的附件。后来由于程序连接问题,使的sftp连接数过多(最多时高达400多个sftp连接数),因为急需要对sftp的连接数做严格限制。操作记录如下:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    启动sftp本机的iptables防火墙功能,限制每个ip连接22端口(sftp连接端口即是ssh端口)最大为50个,当超过50后的连接数的流量就会被DROP掉!
    同时iptables需要开放50000-65535范围的端口的访问(linux系统最大的端口为65535)
     
    [root@localhost ~]# cat /etc/sysconfig/iptables
    # Firewall configuration written by system-config-firewall
    # Manual customization of this file is not recommended.
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    #-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT
    #-A INPUT -j REJECT --reject-with icmp-host-prohibited                                //注意这两行需要注释掉!否则设置的策略无效!
    #-A FORWARD -j REJECT --reject-with icmp-host-prohibited
    COMMIT
     
    =================================解释说明===========================================
    上面限制端口连接数主要用到的模块是connlimit。
    -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP
     
    说明输入的目标端口是22,也就是访问sftp本机22端口的流量,如果连接数大于50,则DROP掉流量!
    connlimit-above这个是连接数的统计,
     
    如果大于50就满足条件,connlimit-mask这个是定义那组主机,此处跟的一个数值是网络位,即子网掩码,也就是connlimit-mask 0 这个ip组的连接数
    大于connlimit-above 50 则DROP掉!
     
    总体描述为流量过滤端口和连接数以及网络位,如果满足第一条,则拒绝,流量不再匹配下边的规则,如果不匹配,则第二条规则会允许流量。
    --connlimit-mask 0 即子网掩码为0,表示所有的ip,也就是说不管来源是什么ip,只要连接此服务器的22端口总数超过50个,则DROP掉流量!
     
    如果将--connlimit-mask 0去掉,则子网掩码默认是32,这是针对单个ip或某一个具体ip连接此服务器的22端口超过50个,则DROP掉!
    如果有51台机器,每台机器连接一个,则不会被DROP掉!因为这种情况是针对单个ip连接数限制 (单个ip的连接超过50才被drop)
     
    也就是说connlimit-above 50这个的数量所限制的区域是由--connlimit-mask 0而定!

    =============iptables利用connlimit模块限制同一IP连接数==============

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    connlimit功能:
       connlimit模块允许限制每个客户端IP的并发连接数,即每个IP同时连接到一个服务器个数。
       connlimit模块主要可以限制内网用户的网络使用,对服务器而言则可以限制每个IP发起的连接数。
      
    connlimit参数:
      --connlimit-above n    #限制为多少个
      --connlimit-mask n     #这组主机的掩码,默认是connlimit-mask 32 ,即每个IP.
      
    示例说明:
    1) 限制同一IP同时最多100个http连接
    # iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT
    或者
    # iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT
     
    2) 只允许每组C类IP同时100个http连接
    # iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 24 -j REJECT
     
    3) 只允许每个IP同时5个80端口转发,超过的丢弃
    # iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
     
    4) 限制某IP最多同时100个http连接
    # iptables -A INPUT -s 172.16.60.51 -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT
     
    5) 限制每IP在一定的时间(比如60秒)内允许新建立最多100个http连接数
    # iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 100 -j REJECT
    # iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

    =============使用sftp或ftp协议上传文件,上传文件大小为0=============
    客户端上传报错:error while writing: received failure with description 'Failure'
    服务器端/var/log/message报错:sftp-server[15747]: error: process_write: write failed 

    造成这个错误大致就两个原因:
    1) ulimit限制. 
    在sftp连接使用的账号下增大ulimit的值
    # ulimit -n 65535 
    2) 磁盘空间不够了

    ======================iptables限制同一IP连接数,预防CC/DDOS攻击======================

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    1)限制与80端口连接的IP最大连接数为50,可自定义修改。(这里指的是每个ip与80端口的连接数最大为50,超过50则丢弃. 如果加上--connlimit-mask 0 , 则表示所有ip与80端口的连接最大为50!)
    [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
     
    2)使用recent模块限制同IP时间内新请求连接数。
     
    下面策略表示:60秒有10个新连接,超过记录日志。
    [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10
    -j LOG --log-prefix 'DDOS:' --log-ip-options
     
    下面策略表示:60秒10个新连接,超过丢弃数据包
    [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP
     
    可以在iptables配置文件中
    [root@localhost ~]# vim /etc/sysconfig/iptables    //删除原来的内容输入如下内容 保存
    # Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010
    *filter
    :INPUT DROP [385263:27864079]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [4367656:3514692346]
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -s 127.0.0.1 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name WEB --rsource
    -A INPUT -p tcp -m tcp --dport 80 -m state –-state NEW -m recent --update --seconds 5 --hitcount 20 --rttl --name WEB --rsource -j DROP
    -A INPUT -p tcp -m multiport –-ports 21,22,80 -j ACCEPT
    -A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m ttl -–ttl-eq 117 -j DROP
    -A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m length --length 0:40 -j DROP
    -A INPUT -p tcp -m tcp ! -–tcp-flags SYN,RST,ACK SYN -m state –-state NEW -j DROP
    COMMIT
    # Completed on Sun Dec 12 23:55:59 2017
     
    以上配置,说明此设定仅对外开放21(FTP),22(SSH),80(http网站)三个TCP端口。设置80端口5秒内20个连接。
     
    [root@localhost ~]# /etc/init.d/iptables restart
  • 相关阅读:
    嵌入式和就业(转)
    [转] 电子技术·笔记1(9月份)
    ERP系统
    Win7 启动修复
    A1pass大大对黑客学习的建议
    你凭什么能过上你想要的生活?
    Hacker需要掌握的基础
    Hacker学习发展流程图
    硬盘SMART参数解释
    u盘的一些理解
  • 原文地址:https://www.cnblogs.com/xzlive/p/12047831.html
Copyright © 2020-2023  润新知