IPTables 限制速率,设备数和请求连接数

原创 已于 2023-04-28 21:52:43 修改 · 2.5k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #网络

于 2023-03-12 15:23:54 首次发布

IPTables 是一个 Linux 内核的防火墙工具,可以用于设置和管理网络规则

限制措施

以 1.2.3.4 通过 53 端口访问 DNS 服务为例:

  • 禁止所有IP
iptables -I INPUT -p tcp --dport 53 -j DROP
  • 连接速率限制为100Mbps
iptables -A INPUT -s 1.2.3.4 -p tcp --dport 53 -m limit --limit 100mbit/s -j ACCEPT
  • 一般限制请求连接数
iptables -A INPUT -s 1.2.3.4 -p tcp --dport 53 -m connlimit --connlimit-above 2 -j DROP
  • 限制请求连接数
iptables -A INPUT -s 1.2.3.4 -p tcp --dport 53 -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

这个命令中,“-m connlimit” 参数用于指定使用连接限制模块,“–connlimit-above 5” 参数用于指定每秒钟最多建立 5 个连接,“–connlimit-mask 32” 参数用于指定要限制的是源 IP 地址,“-j REJECT --reject-with tcp-reset” 参数用于将超过连接限制的连接拒绝,并向客户端发送 TCP RESET 报文

其他

connlimit 没有找到

可以使用以下命令检查你的系统是否安装了 connlimit 模块:

modprobe -c | grep connlimit

如果命令输出了 alias net-pf-10-connlimit 或者类似的信息,则表示 connlimit 模块已经被安装了。如果没有输出,则表示该模块未安装
另外,你也可以使用 lsmod | grep connlimit 命令来检查该模块是否已经被加载到内核中。如果该命令没有输出,则表示该模块没有被加载。如果有输出,则表示该模块已经被加载了
如果系统没有安装 connlimit 模块,你可以尝试重新编译内核或者安装相应的软件包来启用该模块

–connlimit-mask 32 是什么

“–connlimit-mask 32” 参数是用来指定要限制的是源 IP 地址的最后 32 位。IPv4 地址是由四个 8 位整数组成,每个整数的范围是 0~255,通常用点分十进制表示。例如,IP 地址 192.168.1.100,其中 192、168、1 和 100 都是一个 8 位整数

“–connlimit-mask” 参数用来指定要匹配的 IP 地址位数,单位是位。在这个命令中,“–connlimit-mask 32” 指定要限制的是源 IP 地址的最后 32 位,也就是只限制每个具体的 IP 地址的连接数,不考虑子网掩码的影响。这样可以精确地限制每个 IP 地址的连接数,避免影响其他 IP 地址的正常访问。

如果你希望限制整个子网的连接数,可以将 “–connlimit-mask” 参数设置为较小的值,以匹配子网掩码的位数。例如,“–connlimit-mask 24” 指定要限制的是源 IP 地址的最后 24 位,这样就可以限制整个子网的连接数,而不是单个 IP 地址的连接数

iptables教程
06-13 3147
如果一个据包没有匹配到一个链中的任何一个规则,那么将对该据包执行这个链的默认策略(default policy),默认策略可以是 ACCEPT 或 DROP。链中默认策略的存在使得我们在设计防火墙时可以有两种选择:设置默认策略 DROP 所有的据包,然后添加规则接受(ACCEPT)来自可信 IP 地址的据包,或访问我们的服务监听的端口的据包,比如 bittorrent、FTP 服务器、Web 服务器、Samba 文件服务器等等。
利用linuxiptables限速
03-27
利用linuxiptables限速,讲解了怎么样利用iptables实现限制某一台客户机的上网速度的方法
TC+IPTables实现下载上传带宽限制脚本
03-24
linux 下不着用TC+IPTables实现下载上传带宽限制脚本
通过iptables限制sftp端口连接数(运维笔记)
09-02
本文档详细介绍了通过iptables限制sftp端口连接数的运维操作方法,以及预防CC/DDOS攻击的设置措施.在此分享,希望能帮助到有用到的朋友!
iptables 限制网速
weixin_33860722的博客
03-26 576
 当我们在管理网络的时候, 总是会遇到些不自觉的人用P2P这类工具下东西或者传东西,在家里当人没人管理,但是在公司里,这会极度占用公司那可怜的带宽,我们需要限制下这种人的速度,这里教大家最简单的方法,几乎不要安装任何软件,是linux默认自带的,呵呵,2行命令就可以限制害群之马的网速: ? 限制网段 for ((i = 1; i < 253; i++))  do /sbi...
iptables限速
asdfghj1221的博客
08-19 545
####限速 限制指定时间包的允许通过量及并发-m limit --limit n/{second/minute/hour}:指定时间内的请求速率"n"为速率,后面为时间分别为:秒、分、时--limit-burst [n]:在同一时间内允许通过的请求"n"为字,不指定默认为5[root@nginx01 ~]# iptables -I INPUT -s 10.0.1.0/24 -p...
iptables高级应用:限制连接速率连接数
在本章节中,我们将介绍iptables的基础规则,包括规则的结构语法、如何添加、删除查看规则,以及一些常见的iptables基础规则案例。 #### 2.1 iptables规则结构语法 iptables规则由若干个部分组成,包括表...
Linux端口开放与连接限制】:设置端口连接数限制以增强网络防御
![【Linux端口开放与连接限制】:设置端口连接数限制以增强网络防御]...接着,文章深入分析了端口连接数限制的策略,涵盖了连接数限制的理论基础、iptablesT
tcp_ESTABLISHED总连接数高峰期4.6W 当前是4.2W , DOS防护中, iptables -L syn-flood 的TCP limit: avg burst 推荐设置多少
最新发布
04-23
| `tcp_ESTABLISHED` | 已建立连接数 | `ss -s | grep estab` | 受应用层资源`connlimit`限制 | | 总连接数 | 全状态连接总 | `conntrack -L | wc -l` | 需综合SYN防护+连接数限制策略 | #### 三、针对$4.6W$...
总结:防火墙iptables
wauzy的博客
07-26 653
iptables基本认识 Netfilter组件 内核空间,集成在linux内核中 官网文档:https://netfilter.org/documentation/ 扩展各种网络服务的结构化底层框架 内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具 (iptables)向其写入规则 由信息过滤表(table)组成,包含控制
iptables限制网速
beck_li的博客
09-18 2446
1、使用hashlimit来限速 #从eth0网卡进入INPUT链据,使用模块hashlimit 限制网速为100kb/s或2mb/s,超过限制据包会被DROP。OUTPUT链同理,mode为srcip,有4个mode选项: srcip(默认匹配每个源地址IP,配置指定源地址IP,使用-s参) dstip(默认匹配每个目的地址IP,配置指定目的地址IP,使用-d参) srcport(默认匹配每个源端口,配置指定源端口,使用-sport参) dstport(默认匹配目的端口,配置指定目的
iptables 限速配置
钟明家
11-14 2367
1、connlimit: 连接数限制,对每IP所能够发起并发连接数限制; # iptables -A INPUT -p tcp -m tcp –dport 22 -m connlimit –connlimit-above 3 –connlimit-mask 32 –connlimit-saddr -j DROP # iptables -A INPUT -p tcp -m tcp –dport ...
iptables对指定ip限速
DONG999的专栏
05-28 2427
其中--limit 100/s是限制每秒据包量,一般情况下每个据包可以按照1500个字节计算;--limit-burst 100是突发据包。: 指定将令牌重新填充到存储桶中的速率。4/hour表示每小时4个令牌(每15分钟1个令牌)。: 指定存储桶中可以填充的令牌的最大量。(这也是存储桶开始使用的令牌量)。
iptables之端口限速
weixin_30800987的博客
01-10 533
通过限制端口转发据包的量来达到限速的目的。 使用的是centos7,默认使用firewalld,需要切换到iptables,将firewalld停掉。 1、安装iptables #yum -y installyum -y install iptables-services-1.4.21-18.2.el7_4.x86_64 iptables 2、使用 #iptables -A...
iptables限制同一IP连接数
热门推荐
dingyingguidyg的专栏
12-01 1万+
当WEB站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。 1.系统要求 (1) LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。 (2) iptables版本:1.3.7 2. 安装 安装iptables1.3.7系统内核版本对应的内核模块
iptables限速规则
qq_25096749的博客
10-19 603
iptables限速规则
Linux(openwrt)下iptables+tc工具实现网络流量限速控制(QoS)
Ryan爱吃糖的博客
07-17 4636
连接数过高
04-03
### 解决高连接数问题的方法 在 IT 系统中,当服务器面临过多的并发连接请求时,可能会导致性能下降甚至崩溃。为了优化或限制过高连接数,可以采取以下措施: #### 1. 调整操作系统级别的参配置 大多现代操作系统都允许通过调整内核参来控制最大连接数。例如,在 Linux 中可以通过修改 `/proc/sys/net/core/somaxconn` 参增加监听队列长度[^1]。 ```bash sysctl -w net.core.somaxconn=4096 ``` 上述命令将默认的最大连接数从较低值提升到更高的水平,从而减少因队列溢出而导致的新连接被拒绝的情况。 #### 2. 使用负载均衡器分担压力 部署硬件或者软件形式的负载均衡设备能够有效地把流量分配给多个后端服务节点处理。常见的开源解决方案有 Nginx HAProxy[^2]。这些工具支持多种算法(如轮询、最少连接法),并提供健康检查功能以确保只有健康的实例接收请求。 #### 3. 实施连接池技术 对于据库访问或其他耗资源操作频繁的应用场景来说,建立合理的连接池机制非常重要。它不仅可以重用已存在的连接降低开销,还可以设置上限防止过度消耗系统资源[^3]。 ```java DataSource dataSource = new HikariDataSource(config); // 设置最大活跃连接数量 dataSource.setMaximumPoolSize(50); ``` 以上 Java 示例展示了如何利用 HikariCP 库创建一个具有固定大小限制据源对象。 #### 4. 启用防火墙规则与速率限制策略 合理运用 iptables 或者更高级别的 WAF(Web Application Firewall),可以根据 IP 地址或者其他特征对客户端发起的请求量加以约束。此外,API网关层面上也可以实现基于令牌桶算法的时间窗口限流逻辑[^4]。 #### 5. 升级硬件设施以及网络带宽 如果经过分析发现当前瓶颈确实来源于物理层面,则考虑升级 CPU/GPU 性能指标、扩充内存容量或是购买更快的互联网接入线路成为必要选项之一[^5]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值