支付宝内搜索 9155838 即可领现金红包 每天都能领哦

23:39:44
今天真是头大啊，好多好多事，电话沟通打了两个多小时，都快崩溃了

算了，这些蛋疼的事就不说了。

今天网站遭遇攻击，基本上都是180.101.214.xx一个网段里面好多台机器一起cc过来的攻击。

当时也没什么时间处理，直接封掉了这个ip段，等到晚上再处理。

刚刚有时间看了一下，也到网上搜了一下，看到有一些封cc攻击的脚本，也没多少时间去看那一堆的代码，所以也不敢直接使用。

翻到之前一个简单的iptables规则，限制同一个ip对80端口的连接数：
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 200 -j REJECT

意思是同一个ip限制最多200个连接访问服务器的80端口。

但是执行后出错啦：

iptables: Protocol wrong type for socket.

又到网上搜了一下，技术小白就是什么都得去网上找╯▂╰，把百度的第一页基本都点开看了一下，全都是复制粘贴一模一样的文章，真是服了百度，这么垃圾的排名算法？

也不是说这篇文章解决不了问题，主要是这篇文章一开始就是yum update 然后升级一批东西，还有乱七八糟的一堆命令，在生产环境上我是不敢用。

然后自己研究了一下，几条命令搞定。

因为现在很多服务器系统默认的iptables一般都是1.4.7版本的，因为iptables版本太旧了，它的connlimit模块内核不兼容，所以要升级一下iptables。

根据我一番测试，iptables v1.4.19就不会出错了，我自己升级的是iptables v1.4.20

wget https://netfilter.org/projects/iptables/files/iptables-1.4.20.tar.bz2
tar -xjf iptables-1.4.20.tar.bz2
cd iptables-1.4.20
./configure --disable-nftables
make
make install

#安装好的iptables在：
ll /usr/local/sbin

cd /sbin
mv iptables-multi-1.4.7 iptables-multi-1.4.7bak
ln -s /usr/local/sbin/iptables iptables-multi-1.4.7

这样就搞定了，直接执行 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 200 -j REJECT 再也不报错了，执行如下两个命令可看到iptables版本和新增的规则：

[root@dngz.net ~]# iptables -V
iptables v1.4.20

[root@dngz.net ~]# iptables -vnL
Chain INPUT (policy DROP 3 packets, 602 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  120  6204 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 #conn src/32 > 200 reject-with icmp-port-unreachable

期望这个限制200连接数的规则有用，也请大神别攻击我们这种技术不到家的网站啦，还希望能有大神教教我。

更新于:2019-05-18 00:05:44 栏目:技术技巧 关键词:网站,服务器,iptables,防火墙

本站使用「署名 4.0 国际」创作共享协议，可转载、引用，但需署名作者且注明文章出处

推荐文章

• 绕绕路跑得更快
• 服务器88元1年！.com域名续费只要30元！腾讯云双11大促
• vps服务器已不间断运行1605天啦
• 2019.6.11周二 给评论框加个特效
• 腾讯云秒杀 1C1G1M一年99元 1C1G5M三年599元
• 删减后的Google快照似乎可以使用了
• 我们80后究竟是怎样的一代人?
• 单身男人的基本生活常识
• 搜狗拼音输入法 完美优化/修正/绿色/正式版【绝对好用，吐血推荐】
• Title在seo中越来越重要