2019.5.17周五 升级iptables 限制访问连接数

支付宝内搜索 9155838 即可领现金红包 每天都能领哦

23:39:44
今天真是头大啊,好多好多事,电话沟通打了两个多小时,都快崩溃了

算了,这些蛋疼的事就不说了。

今天网站遭遇攻击,基本上都是180.101.214.xx一个网段里面好多台机器一起cc过来的攻击。

当时也没什么时间处理,直接封掉了这个ip段,等到晚上再处理。

刚刚有时间看了一下,也到网上搜了一下,看到有一些封cc攻击的脚本,也没多少时间去看那一堆的代码,所以也不敢直接使用。

翻到之前一个简单的iptables规则,限制同一个ip对80端口的连接数:
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 200 -j REJECT

意思是同一个ip限制最多200个连接访问服务器的80端口。

但是执行后出错啦:

iptables: Protocol wrong type for socket.

又到网上搜了一下,技术小白就是什么都得去网上找╯▂╰,把百度的第一页基本都点开看了一下,全都是复制粘贴一模一样的文章,真是服了百度,这么垃圾的排名算法?

也不是说这篇文章解决不了问题,主要是这篇文章一开始就是yum update 然后升级一批东西,还有乱七八糟的一堆命令,在生产环境上我是不敢用。

然后自己研究了一下,几条命令搞定。

因为现在很多服务器系统默认的iptables一般都是1.4.7版本的,因为iptables版本太旧了,它的connlimit模块内核不兼容,所以要升级一下iptables。

根据我一番测试,iptables v1.4.19就不会出错了,我自己升级的是iptables v1.4.20

wget https://netfilter.org/projects/iptables/files/iptables-1.4.20.tar.bz2
tar -xjf iptables-1.4.20.tar.bz2
cd iptables-1.4.20
./configure --disable-nftables
make
make install

#安装好的iptables在:
ll /usr/local/sbin

cd /sbin
mv iptables-multi-1.4.7 iptables-multi-1.4.7bak
ln -s /usr/local/sbin/iptables iptables-multi-1.4.7

这样就搞定了,直接执行 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 200 -j REJECT 再也不报错了,执行如下两个命令可看到iptables版本和新增的规则:

[root@dngz.net ~]# iptables -V
iptables v1.4.20

[root@dngz.net ~]# iptables -vnL
Chain INPUT (policy DROP 3 packets, 602 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  120  6204 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 #conn src/32 > 200 reject-with icmp-port-unreachable

期望这个限制200连接数的规则有用,也请大神别攻击我们这种技术不到家的网站啦,还希望能有大神教教我。

推荐文章

已有 6 条评论
  1. 鸟叔

    国内服务器就是毛病多,经常被攻击,不是外部就是内部,我用的国外的vps,啥事没有

    鸟叔 回复
    1. xylx

      @鸟叔

      是的,一是攻击挂外链,还有就是疯狂的采集(也等于是cc攻击了),还有就是一不小心就得罪谁了,就是看你不顺眼就来d你。:-(

      xylx 回复
      1. 耳朵的主人

        @xylx

        现在云服务器不都自带CC流量清洗的吗?随他们造。DDoS比较头疼而已,不过博客站谁花钱来D呢。

        耳朵的主人 回复
        1. xylx

          @耳朵的主人

          什么都没带哦,要cdn或者waf才有吧。

          xylx 回复
  2. 奶爸de笔记

    被你们说的我都不敢到处留言了,好几个都被攻击了。以前我用国外服务器也被攻击过一次,换到3刀的防攻击ip去,就解决了。国内1M小水管我真不知道被攻击了怎么搞。

    奶爸de笔记 回复
    1. xylx

      @奶爸de笔记

      是啊,国内真的很危险,别人一不开心就D你,D得我毫无脾气。
      不过我也看开了,顺其自然吧。

      xylx 回复
发表新评论