主页 / unix / 问题 / 541534
Accepted
lonix
Asked: 2019-09-14 00:58:58 +0800 CST

将 ufw 规则映射到 iptables

  • 772

我正在从 ufw 转移到 iptables。

ufw 中有一个默认的“限制”规则,如果一个 IP 地址在 30 秒内启动了 6 个以上的连接(sudo ufw limit ssh),该规则就会生效。我对 SSH 流量(端口 22)使用该限制规则。

我已经在 iptables 中阅读了很多不同的方法来做到这一点,这只是令人困惑。我不确定是否使用connlimitorlimit或其他一些模块。

将此规则 1:1 映射到 iptables 的最简单方法是什么?

ubuntu

2 个回答

  1. ufw在 iptables 上进行操作,所以既然你是从 ufw 搬来的,我想你可以捕获你的 iptables 并查看 ufw 在那里做了什么。

    • 2
  2. Best Answer

    使用recent扩展

    基于@Tomasz 的想法,我在 ufw 中创建了规则,并在 iptables 中检查了结果。似乎 ufw 使用recent扩展名:

    :LOG_REJECT - [0:0]

-A INPUT      -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set
-A INPUT      -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 30 --hitcount 6 -j LOG_REJECT
-A INPUT      -p tcp -m tcp --dport 22                                                                         -j ACCEPT
-A LOG_REJECT                                                     -m limit --limit 3/min                       -j LOG --log-prefix "[LIMITED SSH]"
-A LOG_REJECT                                                                                                  -j REJECT --reject-with icmp-port-unreachable

    使用limit扩展

    哪个更整洁/更简单:

    :LOG_REJECT - [0:0]

-A INPUT      -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m limit --limit 12/minute -j ACCEPT
-A INPUT      -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW                            -j LOG_REJECT
-A LOG_REJECT                                                     -m limit --limit 3/minute  -j LOG --log-prefix "[LIMITED SSH]" --log-level 7
-A LOG_REJECT                                                                                -j REJECT --reject-with icmp-port-unreachable

    (虽然我不确定icmp-port-unreachable在这种情况下是否是正确的拒绝消息。)

    使用connlimit扩展

    ...也许其他人可以添加。:)

    • 1

相关问题