第 17 章 使用 nftables 限制连接的数量

流程

1. 创建带有 inet 地址系列的 filter 表：

   # nft add table inet filter

   Copy to Clipboard Toggle word wrap

2. 将 input 链添加到 inet filter 表中：

   # nft add chain inet filter input { type filter hook input priority 0 \; }

   Copy to Clipboard Toggle word wrap

3. 为 IPv4 地址创建动态集合：

   # nft add set inet filter limit-ssh { type ipv4_addr\; flags dynamic \;}

   Copy to Clipboard Toggle word wrap

4. 在 input 链中添加一条规则，该规则只允许从 IPv4 地址到 SSH 端口(22)的两个同时的传入连接，并拒绝来自同一 IP 的所有进一步的连接：

   # nft add rule inet filter input tcp dport ssh ct state new add @limit-ssh { ip saddr ct count over 2 } counter reject

   Copy to Clipboard Toggle word wrap

验证

1. 建立从同一 IP 地址到主机的两个以上的同时的 SSH 连接。如果已经建立了两个连接，则 nftables 会拒绝到 SSH 端口的连接。

2. 显示 limit-ssh 动态集：

   # nft list set inet filter limit-ssh
   table inet filter {
     set limit-ssh {
       type ipv4_addr
       size 65535
       flags dynamic
       elements = { 192.0.2.1 ct count over 2 , 192.0.2.2 ct count over 2 }
     }
   }

   Copy to Clipboard Toggle word wrap

   elements 条目显示当前与该规则匹配的地址。在本例中，elements 列出了与 SSH 端口有活动连接的 IP 地址。请注意，输出不会显示活跃连接的数量，或者连接是否被拒绝。