8.9. 使用 nftables 来限制连接数量
您可以使用 nftables 来限制连接数或限制到建立给定数量连接的块 IP 地址,以防止它们使用太多的系统资源。
8.9.1. 使用 nftables 限制连接的数量
通过使用 nft 工具的 ct count 参数,您可以限制每个 IP 地址同时连接的数量。例如,您可以使用此功能配置每个源 IP 地址只能建立到主机的两个并行 SSH 连接。
流程
创建具有
inet地址系列的filter表:# nft add table inet filter将
input链添加到inet filter表中:# nft add chain inet filter input { type filter hook input priority 0 \; }为 IPv4 地址创建动态集合:
# nft add set inet filter limit-ssh { type ipv4_addr\; flags dynamic \;}向
input链中添加一条规则,该规则只允许从 IPv4 地址到 SSH 端口(22)的两个同时的进入连接,并拒绝来自同一 IP 的所有未来的连接:# nft add rule inet filter input tcp dport ssh ct state new add @limit-ssh { ip saddr ct count over 2 } counter reject
验证
- 从同一 IP 地址建立到主机的两个以上的新的同时的 SSH 连接。如果已经建立了两个连接,nftables 拒绝到 SSH 端口的连接。
显示
limit-ssh仪表:# nft list set inet filter limit-ssh table inet filter { set limit-ssh { type ipv4_addr size 65535 flags dynamic elements = { 192.0.2.1 ct count over 2 , 192.0.2.2 ct count over 2 } } }
elements条目显示当前与该规则匹配的地址。在本例中,elements列出了与 SSH 端口有活动连接的 IP 地址。请注意,输出不会显示活跃连接的数量,或者连接是否被拒绝。
8.9.2. 在一分钟内尝试超过十个进入的 TCP 连接的 IP 地址
您可以在一分钟内临时阻止建立十个 IPv4 TCP 连接的主机。
流程
创建具有
ip地址系列的filter表:# nft add table ip filter向
filter表中添加input链:# nft add chain ip filter input { type filter hook input priority 0 \; }添加一条规则,其丢弃来自源地址的所有数据包,并尝试在一分钟内建立十个 TCP 连接:
# nft add rule ip filter input ip protocol tcp ct state new, untracked meter ratemeter { ip saddr timeout 5m limit rate over 10/minute } droptimeout 5m参数定义nftables在五分钟后自动删除条目,以防止计量被过时的条目填满。
验证
要显示 meter 的内容,请输入:
# nft list meter ip filter ratemeter table ip filter { meter ratemeter { type ipv4_addr size 65535 flags dynamic,timeout elements = { 192.0.2.1 limit rate over 10/minute timeout 5m expires 4m58s224ms } } }
