Linux

如何使用 iptables 防止特定埠上的 Syn-flood?

  • November 27, 2021

我最近試圖在埠 2421 上的伺服器上防止 Syn-Flood,每秒只允許一個 TCP 連接,並且不應停止現有連接,所以我使用了以下腳本,但似乎沒有做到這一點,我的腳本有問題嗎?

#!/bin/bash
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp --dport 2421 --syn -m limit --limit 1/second --limit-burst 3 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED -j ACCEPT

您的程式碼確實有效。問題出在其他地方。

您可以檢查您的規則是否完全符合

iptables -nvL INPUT

也許您不小心使用了 IPv6(如果使用的地址是localhost; 請改用 127.0.0.1)。

或者除了iptables它的繼任者nftables正在使用中。檢查與

nft list ruleset

引用自:https://unix.stackexchange.com/questions/679218

相關問答

Linux

/bin/bash 的內容是什麼,不小心覆蓋了怎麼辦

  • April 16, 2021
檢視問答
Linux

從 localhost 測試 iptables

  • November 18, 2019
檢視問答
Linux

零長度出口數據包的 TCP 校驗和錯誤(使用 iptables 擷取)

  • July 1, 2019
檢視問答
Linux

使用 iptables 記錄關閉的 tcp 連接

  • May 7, 2019
檢視問答
Linux

來自 iptables 配置的日誌條目的含義

  • April 17, 2019
檢視問答
Linux

使用 iptables 過濾各種 TCP 攻擊是否已經過時,因為它們在其他地方或其他地方被過濾?

  • March 22, 2019
檢視問答