主页 / server / 问题 / 1131631
Accepted
lonix
Asked: 2023-05-22 09:13:49 +0800 CST

在 firewalld 中测试速率限制规则

  • 772

我想对每个 IP到运行 firewalld 的服务器的 ssh 连接进行速率限制。

假设我的 sshd 在端口 2222 上侦听,并且我想将每个 IP 的 ssh 连接限制为每分钟 3 个。我试过:

sudo firewall-cmd --add-rich-rule \
  'rule port port="2222" protocol="tcp" accept limit value="3/m"'

然后在另一台机器上运行:

ssh myserver echo hello; \
ssh myserver echo hello; \
ssh myserver echo hello; \
ssh myserver echo hello; \  # should fail, but actually logs in
ssh myserver echo hello     # should fail, but actually logs in
...

它每次都登录。没有速率限制。

我的错误在哪里?

linux

1 个回答

  1. Best Answer

    似乎这还不可能使用 firewalld 的“丰富规则”。

    所以我通过 firewalld 的direct功能使用常规的 iptables 规则。(我正在使用 firewalld 的 iptables 后端,因为 docker 还不能与 nftables 一起工作。)

    sudo firewall-cmd --add-port=2222/tcp   # remember to allow custom ssh port

sudo firewall-cmd --direct --add-rule ipv4 filter INPUT_direct 0 \
  -p tcp --dport 2222 \
  -m state --state NEW \
  -m recent --name ssh --set

sudo firewall-cmd --direct --add-rule ipv4 filter INPUT_direct 1 \
  -p tcp --dport 2222 \
  -m state --state NEW \
  -m recent --name ssh --update --seconds 61 --hitcount 4 --rttl \
  -j REJECT --reject-with tcp-reset

# ...and the same for ipv6

    去测试:

    for i in {1..4}; do
  nc -z myserver 2222
  [ "$?" = 0 ] && echo "$i = success" || echo "$i = fail"
done

# 1 = success
# 2 = success
# 3 = success
# 4 = fail
    • 2

相关问题