我知道你可以限制每ip的连接数,每个时间间隔等,但我想要的是数据量。Iptables防止泛滥
我正在托管一个套接字服务器,我认为不是让它执行处理来检查泛滥 - 将它卸载到防火墙。我知道你可以防范SYN泛洪攻击,就像这里所说:
http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html
例如:
# Limit the number of incoming tcp connections
# Interface 0 incoming syn-flood protection
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
#Limiting the incoming icmp ping request:
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP:
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT
我不知道是什么的iptables可以做,所以这个问题是有点含糊。但由于网络套接字使用tcp我应该能够限制每秒字节数。并且标志连接超过这个限制或者只是放下它们,不管。
我似乎无法找到一个很好的参考,因为它们都是关于跟踪连接等,而不是数据传输。有谁知道一个很好的参考或如何做到这一点? iptables不是一个好的防火墙吗?如果不是什么?
“* data *”,你是否包含以太网帧和它们的头文件? – user2284570
@ user2284570是的,我想 – FrostyFire