Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

17.2. 在一分钟内尝试超过十个进入的 TCP 连接的 IP 地址

您可以临时阻止在一分钟内建立十个 IPv4 TCP 连接的主机。

流程

  1. 创建具有 ip 地址系列的 filter 表: 

    # nft add table ip filter
    Copy to Clipboard Toggle word wrap

  2. filter 表中添加 input 链: 

    # nft add chain ip filter input { type filter hook input priority 0 \; }
    Copy to Clipboard Toggle word wrap

  3. filter 表中添加一个名为 denylist 的集合: 

    # nft add set ip filter denylist { type ipv4_addr \; flags dynamic, timeout \; timeout 5m \; }
    Copy to Clipboard Toggle word wrap

    这个命令为 IPv4 地址创建动态设置。timeout 5m 参数定义 nftables 在五分钟后自动删除条目,以防止集合被过时的条目填满。

  4. 添加一条规则,该规则将在一分钟内试图建立十多个新 TCP 连接的主机源 IP 地址添加到 denylist 集中: 

    # nft add rule ip filter input ip protocol tcp ct state new, untracked add @denylist { ip saddr limit rate over 10/minute } drop
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat