DOS/DDOS攻击的iptables主动防御

本文介绍如何使用iptables限制HTTP端口的最大连接数及新连接速率,包括限制80端口最大连接数为10的方法,以及利用recent模块实现60秒内超过10个新连接即记录日志并丢弃数据包的技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.限制与80端口连接的IP最大连接数为10,可自定义修改。

 代码如下 复制代码

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP


2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用。

 代码如下 复制代码

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options 
#60秒10个新连接,超过记录日志。 
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP 
#60秒10个新连接,超过丢弃数据包。 
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT 
#范围内允许通过。


上面的相对比较简单,下面我来分析更具体的配置方法。CentOS/Redhat/Fedora

在服务器执行

 代码如下 复制代码
vi /etc/sysconfig/iptables
删除原来的内容输入如下内容 保存
# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010
*filter
:INPUT DROP [385263:27864079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4367656:3514692346]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name WEB –rsource
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 5 –hitcount 20 –rttl –name WEB –rsource -j DROP
-A INPUT -p tcp -m multiport –ports 21,22,80 -j ACCEPT
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m ttl –ttl-eq 117 -j DROP
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m length –length 0:40 -j DROP
-A INPUT -p tcp -m tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP
COMMIT
# Completed on Sun Dec 12 23:55:59 2010

说明此设定仅对外开放21(FTP),22(SSH),80(http网站)三个TCP端口。设置80端口5秒内20个连接

以上技术应用于最优质的水果的鲜果篮

<think>好的,我现在需要解决用户遇到的ConditionFileIsExecutable错误,具体是ConditionFileIsExecutable=!/usr/libexec/iptables/iptables.init这个错误。用户提到在运行某些命令时出现了问题,比如引用[2]中的错误信息,提示缺少/etc/init.d/functions文件,以及未找到success和failure命令。同时,引用[3]提到使用minimize安装可能导致问题。我需要逐步分析可能的原因和解决方法。 首先,ConditionFileIsExecutable错误通常与systemd服务单元文件中的条件检查有关。这里用户的条件是检查该文件是否不可执行,但可能实际文件不存在或者权限不正确。根据错误信息,用户可能在执行iptables.init脚本时遇到了依赖问题,比如缺少/etc/init.d/functions文件,这可能是因为系统缺少必要的初始化脚本包,比如initscripts或sysvinit-tools。在最小化安装的系统中,这些包可能未被安装,导致脚本无法找到依赖文件。 接下来,用户提到的未找到success和failure命令,这可能是因为这些函数通常定义在/etc/init.d/functions文件中。如果该文件不存在,脚本中的这些命令就会失败。因此,安装相应的软件包可能解决这个问题。 另外,检查iptables.init文件的权限是否正确,确保该文件具有可执行权限。如果文件存在但权限不足,也会导致条件检查失败。用户需要确认该文件是否存在,如果不存在,可能需要重新安装iptables-services或其他相关软件包。 可能的解决步骤包括:1. 安装缺失的依赖包,如initscripts;2. 检查并修复文件权限;3. 重新安装iptables相关软件包;4. 如果问题仍然存在,可能需要手动创建缺失的文件或调整服务单元文件中的条件检查。 在验证解决方案时,用户应该运行相关命令后检查错误是否消失,并确保服务能够正常启动。此外,用户需要根据系统发行版选择合适的包管理命令,比如yum或dnf,来安装所需的软件包。 最后,需要确保所有步骤符合用户的系统环境,比如CentOS或RHEL版本,以及是否使用了最小化安装。可能需要参考用户提供的引用信息中的路径和错误提示,针对性地解决问题。</think>### 解决 `ConditionFileIsExecutable` 错误的方法 #### 错误背景 当系统中存在 `ConditionFileIsExecutable=!/usr/libexec/iptables/iptables.init` 的条件检查时,可能因以下原因触发错误: 1. **文件不存在**:`/usr/libexec/iptables/iptables.init` 文件缺失。 2. **文件权限问题**:文件存在但未设置可执行权限。 3. **依赖缺失**:脚本依赖的组件(如 `/etc/init.d/functions`)未安装[^2][^3]。 --- #### 逐步解决方案 ##### 1. 确认文件存在性 检查文件是否存在: ```bash ls -l /usr/libexec/iptables/iptables.init ``` - **若文件不存在**:重新安装 `iptables-services`: ```bash sudo yum install iptables-services # CentOS/RHEL sudo dnf install iptables-services # Fedora ``` ##### 2. 修复文件权限 若文件存在但不可执行: ```bash sudo chmod +x /usr/libexec/iptables/iptables.init ``` ##### 3. 安装依赖包 最小化安装可能缺少 `/etc/init.d/functions`,需安装 `initscripts`: ```bash sudo yum install initscripts # CentOS/RHEL sudo dnf install initscripts # Fedora ``` ##### 4. 更新服务配置 若错误源自服务单元文件(如 `iptables.service`),注释或删除条件检查: ```systemd # 修改前 ConditionFileIsExecutable=!/usr/libexec/iptables/iptables.init # 修改后 # ConditionFileIsExecutable=!/usr/libexec/iptables/iptables.init ``` 重载服务配置: ```bash sudo systemctl daemon-reload ``` ##### 5. 验证服务状态 重启服务并检查是否正常: ```bash sudo systemctl restart iptables sudo systemctl status iptables ``` --- #### 附加说明 - **最小化安装问题**:若系统为最小化安装,建议补充安装基础工具链[^3]。 - **命令兼容性**:旧版脚本可能依赖 `success` 或 `failure` 函数,需确保 `/etc/init.d/functions` 存在[^2]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值