关于iptables的limit问题

yggdrasil · 发表于 2004-6-22 10:35:57

以下2条是对icmp的burst限制
iptables -A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
iptables -A INPUT -p icmp -j DROP

我想问的是，如果有3台不同地方的机器同时以1秒钟一次的速度发出icmp讯息，那么我会BAN掉某些ICMP包么？iptables会不会把不同的IP考虑进去?
谢谢

yggdrasil · 发表于 2004-7-14 11:07:37

顶一下

faint · 发表于 2004-7-14 17:50:56

你的第一条ipables的意思是限制ping包每一秒钟一个，10个后重新开始.
同时可以限制IP碎片，每秒钟只允许100个碎片，用来防止DoS攻击.
iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT

yggdrasil · 发表于 2004-7-17 11:03:45

哦，谢谢
不过我问这个问题的主要目的是这样的……
换个角度说吧
iptables -A INPUT -p tcp --syn --dport 80 -m limit --limit 5/sec --limit-burst 10 -j ACCEPT
默认规则是DROP,那么是每个ip限5/sec呢，还是对于整个INPUT interface限5/sec？

lybluesea · 发表于 2004-7-29 11:27:43

是整个INPUT interface限5/sec

smile787 · 发表于 2004-8-1 08:22:37

兄弟这样做不好吧，猜到你想做什么了！

		自动登录	找回密码
密码			注册