kangle在centos系統(tǒng)下結(jié)合系統(tǒng)防火墻
需要SSH下操作
/sbin/iptables -I INPUT -p tcp –dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp –dport 3311 -j ACCEPT
/sbin/iptables -I INPUT -p tcp –dport 3312 -j ACCEPT
/sbin/iptables -I INPUT -p tcp –dport 3313 -j ACCEPT
/sbin/iptables -I INPUT -p tcp –dport 21 -j ACCEPT
/sbin/iptables -I INPUT -p tcp –dport 22 -j ACCEPT
/sbin/iptables -I INPUT -p tcp –dport 5000:5800 -j ACCEPT
每ip連接數(shù)限制方法介紹 connlimit模塊詳解,以下示例限制與80端口連接的每IP最大連接數(shù)為30
iptables -A INPUT -p tcp –dport 80 -m connlimit –connlimit-above 30 -j DROP
使用recent模塊限制同時(shí)間內(nèi)IP的新請(qǐng)求連接數(shù)。
下面策略表示:80端口1分鐘最多通過20個(gè)新連接,超過丟棄數(shù)據(jù)包
iptables -A INPUT -p tcp –dport 80 –syn -m recent –name webpool –rcheck –seconds 60 –hitcount 20 -j DROP
/etc/rc.d/init.d/iptables save
/etc/init.d/iptables restart
chkconfig iptables on
設(shè)置成功后,需要在kangle后臺(tái)把ftp的pavs端口改成5000:5800可以自定義。