Уровень, ограничивающий udp пакеты, предназначенные к машине Linux
Эй :D, необходимо просто выполнить демона на порте 21, и Вы не должны делать перенаправлений.:D Это лучше. И затем для клиентов VPN (другая sub LAN) необходимо сделать iptable правило как
iptables -t nat -A PREROUTING -s vpnsublan -p tcp -d vpninterface --dport vpnftp21 -j DNAT --to ipdaddr:port
Или, можно выполнить демона PPTPD во внешнем интерфейсном порту 21 и демона FTP во внутреннем интерфейсе. Это должно быть лучше.:D
Да, это возможно с недавним модулем iptables. Для здесь :
iptables -I INPUT -p udp -i eth0 -m state --state NEW -m recent \
--update --seconds 60 --hitcount 10 -j DROP
Или, если вы хотите ограничить количество пакетов ICMP, вы можете сделать это с помощью
iptables -I INPUT -p icmp -i eth0 -m state --state NEW -m recent \
--update --seconds 60 --hitcount 10 -j DROP
. Ограничитель пакетов (который является недавним iptables-module) не зависит от условия, на которых должны работать пакеты типа.
Вы можете указать временной интервал и порог пакетов. В этом примере будет разрешено только 10 пакетов UDP за 1 минуту.
Вероятно, вы захотите ограничить не взаимодействие UDP в целом, а только порт назначения. Например, это может быть полезно, если вы хотите остановить не очень жесткую DNS-DDOS-атаку. В этом случае вы также должны указать номер порта с флагом - dport 53 .
Упомянутый вами файл / proc относится к пакетам icmp. Это не было