6.8. Utilização de nftables para limitar a quantidade de conexões
Você pode usar nftables
para limitar o número de conexões ou para bloquear endereços IP que tentam estabelecer uma determinada quantidade de conexões para evitar que elas utilizem muitos recursos do sistema.
6.8.1. Limitando o número de conexões usando nftables
O parâmetro ct count
do utilitário nft
permite aos administradores limitar o número de conexões. O procedimento descreve um exemplo básico de como limitar as conexões de entrada.
Pré-requisitos
-
A base
example_chain
emexample_table
existe.
Procedimento
Adicione uma regra que permite apenas duas conexões simultâneas à porta SSH (22) a partir de um endereço IPv4 e rejeita todas as outras conexões a partir do mesmo IP:
# nft add rule ip example_table example_chain tcp dport ssh meter example_meter { ip saddr ct count over 2 } counter reject
Opcionalmente, exibir o medidor criado na etapa anterior:
# nft list meter ip example_table example_meter table ip example_table { meter example_meter { type ipv4_addr size 65535 elements = { 192.0.2.1 : ct count over 2 , 192.0.2.2 : ct count over 2 } } }
A entrada
elements
exibe endereços que atualmente correspondem à regra. Neste exemplo,elements
lista os endereços IP que têm conexões ativas com a porta SSH. Observe que a saída não exibe o número de conexões ativas ou se as conexões foram rejeitadas.