Início / server / Perguntas / 1131631
Accepted
lonix
Asked: 2023-05-22 09:13:49 +0800 CST

Testando regras de limitação de taxa no firewalld

  • 772

Desejo limitar a taxa de conexões ssh por IP para um servidor executando firewalld.

Suponha que meu sshd escute na porta 2222 e eu queira limitar as conexões ssh por IP a 3 por minuto. Tentei:

sudo firewall-cmd --add-rich-rule \
  'rule port port="2222" protocol="tcp" accept limit value="3/m"'

Então, em outra máquina, executei:

ssh myserver echo hello; \
ssh myserver echo hello; \
ssh myserver echo hello; \
ssh myserver echo hello; \  # should fail, but actually logs in
ssh myserver echo hello     # should fail, but actually logs in
...

Ele faz login todas as vezes. Não há limite de taxa.

Onde está o meu erro?

linux

1 respostas

  1. Best Answer

    Parece que isso ainda não é possível usando as "regras avançadas" do firewalld.

    Portanto, estou usando regras regulares do iptables por meio do directrecurso do firewalld. (Estou usando o back-end iptables do firewalld porque o docker ainda não funciona com nftables.)

    sudo firewall-cmd --add-port=2222/tcp   # remember to allow custom ssh port

sudo firewall-cmd --direct --add-rule ipv4 filter INPUT_direct 0 \
  -p tcp --dport 2222 \
  -m state --state NEW \
  -m recent --name ssh --set

sudo firewall-cmd --direct --add-rule ipv4 filter INPUT_direct 1 \
  -p tcp --dport 2222 \
  -m state --state NEW \
  -m recent --name ssh --update --seconds 61 --hitcount 4 --rttl \
  -j REJECT --reject-with tcp-reset

# ...and the same for ipv6

    Testar:

    for i in {1..4}; do
  nc -z myserver 2222
  [ "$?" = 0 ] && echo "$i = success" || echo "$i = fail"
done

# 1 = success
# 2 = success
# 3 = success
# 4 = fail
    • 2

relate perguntas