Обмежте ICMP на джерело IP з IPTables

9

Я помилково подумав, що модуль обмеження є джерелом ip, але, здається, він базується на всіх запитах:

  577 36987 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/sec burst 5 
   46  3478 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 LOG flags 0 level 4 prefix `INET-PING-DROP:' 
   46  3478 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
    ...
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/sec burst 5 
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 LOG flags 0 level 4 prefix `WEB-PING-DROP:' 
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

Як я можу оцінити ліміт icmp за допомогою iptables / netfilter на основі IP-адреси джерела?

linux  networking  iptables  router 
Кайл Брандт
джерело

Відповіді:

5

Якщо ви все ще цікавилися підказкою:

iptables -I INPUT -p icmp -m hashlimit --hashlimit-name icmp --hashlimit-mode srcip --hashlimit 3/second --hashlimit-burst 5 -j ACCEPT

Якщо припустити, що останнє правило в INPUT - це drop або політика за замовчуванням - DROP. Кожен ip обмежений 3 пінгами в секунду (вибух 5). Не всі вхідні IP-адреси загалом, як ви виявили з обмеженням -m.

Ніколі
джерело
Тепер це прийняття справді "мета"!
Гонки легкості на орбіті
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.