iptables -A INPUT -m state --state NEW -m recent --set # If we receive more than 10 connections in 10 seconds block our friend.
iptables -A INPUT -m state --state NEW -m recent --update --seconds 5 --hitcount 15 -j Log-N-Drop
iptables から次の 2 つの関連ルールを取得しました。5 秒間に 15 回を超える接続が行われると、試行がログに記録され、ブロックされます。iptables はどのくらいの期間カウンターを維持しますか? 再度接続が試行されると更新されますか?
答え1
5 秒間に 15 を超える接続が行われた場合、最後のパケットが受信されてから 5 秒後まで、それらの接続は拒否されます。
答え2
次のコマンドを実行すると、このモジュールに関するヘルプが表示されますiptables -m recent --help。
あなたの質問に関連する主なオプションは次のとおりです:
[!] --update Match if source address in list, also update last-seen time.
つまり、--update を使用すると更新されますが、ドロップする前に更新する必要があります。したがって、最初に更新した場合は「期限切れ」になります。著者のページも役立つかもしれません。また、より多くの IP が来る場合、次のモジュール パラメータが作用します。
ip_list_tot=100 ; テーブルごとに記憶されるアドレスの数
編集: 正直に言うと、もっとよく考えてみると、考えられるシナリオについて少し混乱しています。fping 用の scapy などを使用して、さまざまなソース IP アドレスを作成して、これを何度もテストします。次のモジュール パラメータも役立つかもしれません。
debug=0 ; Set to 1 to get lots of debugging info
おそらく、オプションを試した人ならもっと良い答えを持っているでしょう。申し訳ありません :-/