IPTABLES: как ограничить доступ к порту 25 для каждого IP-адреса в выбранной сети за единицу времени

Question 1

Это стандартный случай ограничения скорости:

iptables -I INPUT -p tcp --dport 25 -i eth0 -s 192.168.0.0/24 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 25 -i eth0 -s 192.168.0.0/24 -m state --state NEW -m recent --update --seconds 30 --hitcount 2 -j DROP

Здесь я предположил, что ваша локальная сеть192.168.0.0/24и ваш интерфейсeth0Если нет, пожалуйста, измените соответствующим образом.

Первое правило обнаруживает всеНОВЫЙпакеты, приходящиеeth0из вашей локальной сети, и направлен на порт TCP 25, и добавляет IP-адрес кнедавнийсписок; вторая команда, после полученияНОВЫЙпакет на том же порту, проверяетнедавнийсписок (--обновлять) и, если адрес был внесен в список менее чем--секунд 30назад, сбрасывает пакет, если заданное число--количество попаданий 2Был достигнут.

Обратите внимание, что это применимо только кНОВЫЙпакеты: если у вас есть законный разговор, который происходит, вы не хотите вмешиваться в него, просто заблокируйте установление другого. В этом мой ответ полностью отличается от ответа Анджело

Answer

Это стандартный случай ограничения скорости:

iptables -I INPUT -p tcp --dport 25 -i eth0 -s 192.168.0.0/24 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 25 -i eth0 -s 192.168.0.0/24 -m state --state NEW -m recent --update --seconds 30 --hitcount 2 -j DROP

Здесь я предположил, что ваша локальная сеть192.168.0.0/24и ваш интерфейсeth0Если нет, пожалуйста, измените соответствующим образом.

Первое правило обнаруживает всеНОВЫЙпакеты, приходящиеeth0из вашей локальной сети, и направлен на порт TCP 25, и добавляет IP-адрес кнедавнийсписок; вторая команда, после полученияНОВЫЙпакет на том же порту, проверяетнедавнийсписок (--обновлять) и, если адрес был внесен в список менее чем--секунд 30назад, сбрасывает пакет, если заданное число--количество попаданий 2Был достигнут.

Обратите внимание, что это применимо только кНОВЫЙпакеты: если у вас есть законный разговор, который происходит, вы не хотите вмешиваться в него, просто заблокируйте установление другого. В этом мой ответ полностью отличается от ответа Анджело

Question 2

Хорошо, я это НЕ проверял, поэтому заранее прошу прощения, если это не сработает (но, надеюсь, этого будет достаточно, чтобы вы разобрались):

iptables -A INPUT -s 192.168.0.0/24 -p tcp -m state --state ESTABLISHED --tcp-flags FIN,ACK FIN,ACK --dport 25 -m recent --name smtplimit --set
iptables -A INPUT -s 192.168.0.0/24 -p tcp -m state --state ESTABLISHED --tcp-flags RST RST --dport 25 -m recent --name smtplimit --set
iptables -A INPUT -s 192.168.0.0/24 -m recent --name smtplimit --rcheck --seconds 30 --hitcount 1 -m limit --limit 1/minute -j LOG --log-prefix 'SMTP limit:'
iptables -A INPUT -s 192.168.0.0/24 -m recent --name smtplimit --rcheck --seconds 30 --hitcount 1 -j DROP

Answer

Хорошо, я это НЕ проверял, поэтому заранее прошу прощения, если это не сработает (но, надеюсь, этого будет достаточно, чтобы вы разобрались):

iptables -A INPUT -s 192.168.0.0/24 -p tcp -m state --state ESTABLISHED --tcp-flags FIN,ACK FIN,ACK --dport 25 -m recent --name smtplimit --set
iptables -A INPUT -s 192.168.0.0/24 -p tcp -m state --state ESTABLISHED --tcp-flags RST RST --dport 25 -m recent --name smtplimit --set
iptables -A INPUT -s 192.168.0.0/24 -m recent --name smtplimit --rcheck --seconds 30 --hitcount 1 -m limit --limit 1/minute -j LOG --log-prefix 'SMTP limit:'
iptables -A INPUT -s 192.168.0.0/24 -m recent --name smtplimit --rcheck --seconds 30 --hitcount 1 -j DROP

IPTABLES: как ограничить доступ к порту 25 для каждого IP-адреса в выбранной сети за единицу времени

решение1

решение2

Связанный контент