17.2. 在一分钟内尝试超过十个进入的 TCP 连接的 IP 地址

流程

1. 创建具有 ip 地址系列的 filter 表：

   # nft add table ip filter

2. 向 filter 表中添加 input 链：

   # nft add chain ip filter input { type filter hook input priority 0 \; }

3. 在 filter 表中添加一个名为 denylist 的集合：

   # nft add set ip filter denylist { type ipv4_addr \; flags dynamic, timeout \; timeout 5m \; }

   这个命令为 IPv4 地址创建动态设置。timeout 5m 参数定义 nftables 在五分钟后自动删除条目，以防止集合被过时的条目填满。

4. 添加一条规则，该规则将在一分钟内试图建立十多个新 TCP 连接的主机源 IP 地址添加到 denylist 集中：

   # nft add rule ip filter input ip protocol tcp ct state new, untracked add @denylist { ip saddr limit rate over 10/minute } drop