iptables connlimit

connlimit то ограничение на количество одновременно существующих коннектов для айпи-адреса. Лучше его не использовать и по возможности использовать соответствующий функционал в приложении, чтобы не грузить файрволл в ядре stateful вычислениями.

hashlimit это ограничение пакетов в секунду на айпи-адрес.

Ерунда.

Спасибо. Пробую добавить правило на hashlimit.

-A INPUT -p tcp -m tcp –dport 443 -m state –state NEW -m hashlimit –hashlimit 20/sec –hashlimit-burst 20 –hashlimit-mode srcip –hashlimit-name syn -j ACCEPT

-A INPUT -p tcp -m tcp –dport 443 -j DROP

Блокирует весь трафик на 443 порт. Что делаю не так?

Без state –state NEW работает.

конечно, сначала разрешили новые не более х шт в секунду, а потом забанили ВСЕ. Добавьте тогда уж NEW во 2-е правило тоже.

Эти правила означают:

1) разрешить до 20 пакетов новых подключений в секунду с каждого удалённого айпи

2) запретить всё остальное (в том числе все не новые подключения)

То есть к тебе кто-то присылает пакет нового коннекта, его ты пропускаешь, а всё что потом - блокируешь. Что ты хочешь сделать то?

Благодарю да вы правы.

Спасибо уже разобрался. Ограничить пропускную полосу на сервере.