IPTables脚本阻止并发连接

Question

我们正在使用Suse Linux Enterprise Server 12.我们需要阻止并发IP地址，这些IP地址每秒触发我们的Web服务器超过50次，并阻止该IP地址持续10分钟。它也应该永远区分攻击者和真正的流量并阻止攻击者的IP。我们目前使用iptables阻止，下面是规则。

iptables -I INPUT -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --set 
iptables -I INPUT -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 50 -j DROP 

它只会阻止IPAddress超过50个连接，但不会将IPAddress黑名单。请让我们知道，如果我们有一个脚本，将符合上面提到的所有情况。请帮忙。

Answer 1

我测试了这个，它工作非常好。如果检测到该行为，则将IP保持10分钟并记录下来。您可以通过观看这些文件来验证它的操作。/proc/net/xt_recent/NICE，/ proc/net/xt_recent/NAUGHTY。您需要构建一个脚本来解析日志中的错误IP，并将它们提交给启动时加载到iptables中的文件，如果要永久性列入黑名单。这个概念已经很清楚了，所以我不需要包括它。

#flush and clear 
iptables -F -t nat 
iptables -F 
iptables -X 

#this is where naughty kids go 
iptables -N GETCAUGHT 

#you got added to the naughty list 
iptables -A GETCAUGHT -m recent --name NAUGHTY --set     #everyone here is bad 
iptables -A GETCAUGHT -j LOG --log-prefix "iwasbad: " --log-level 4 #and it goes on your permanent record 

#if you are on the NAUGHTY list you get a lump of coal         
iptables -A INPUT -i eth0 -m recent --name NAUGHTY --rcheck --seconds 600 -j DROP  #check everyone at the door 

#though everyone starts out on the NICE list 
iptables -A INPUT -i eth0 -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --name NICE --set  #you seem nice 

#but if you GETCAUGHT doing this you are naughty 
iptables -A INPUT -i eth0 -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --name NICE --seconds 1 --hitcount 50 --update -j GETCAUGHT #that wasn't nice