主页 / server / 问题 / 660368
Accepted
Xeoncross
Asked: 2015-01-18 18:39:53 +0800 CST

在 IPTables 而不是 Nginx 或 HAProxy 中限制新连接的速率?

  • 772

我想使用某种形式的速率限制1)新的TCP连接和2)通过现有连接到HTTP(S)的请求。我可能会使用 nginx 或 HAProxy 处理 #2(因为我有更多关于用户历史的信息)。

但是,我想用 IPtables 防止 DoS(不是 DDos),并为 HAProxy 或 Nginx 节省一些处理新 TCP 连接的负载。似乎 IPTables 最适合这项工作。

# Allow unlimited 80 traffic from our own network (duplicate this line for other local subnets)
# 192.168.16.0 - 192.168.16.255
-A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT

# Simple, single-IP DoS protection 
# Per-minute: Allow up to 200 new connections (packets) from an IP before rate-limiting to 50 packets is applied
# This could need to be an ISP, company, or college where 200 clients all connected from a single IP gateway
# in 1 minute and started using your service. After that first minute 50 more can join every minute.
-A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
-A INPUT -p tcp --dport 443 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT

这是一个好主意,还是我应该只在 nginx 或 HAproxy 级别进行两种类型的速率限制(新的/已建立的)?

(注意:我无权访问旨在处理此问题的实际硬件防火墙)

nginx

1 个回答

  1. Best Answer

    就我个人而言,我只会使用 iptables 对特定的 TCP 数据包(syn flood、各种类型的扫描等)进行速率限制,并使用 nginx 来限制每个时间间隔的 HTTP 请求的速率。

    请记住,浏览器会为单个实际用户打开多个 TCP 连接,因此一旦达到突发,将速率限制为每分钟 50 个连接非常低,并且可能会给代理背后的人带来麻烦。

    此外,如果您只过滤 iptables 规则中的 NEW 状态,没有任何证据表明建立 TCP 连接的远程客户端会发送请求。这意味着任何有权访问不遵守入口/出口过滤最佳实践的基础设施的人都可以用欺骗性 IP 对您的服务进行 SYN 攻击,从而降低特定目标的服务质量,例如知名公司的手机 AP。

    • 0

相关问题