Я могу использовать iptables для ограничения скорости ipset?
Действительно ли возможно использовать iptable таблицы для ограничения скорости ipset?
Я знаю, что можно использовать ipset для создания черного списка, названного черным списком
т.е.
ipset create blacklist hash:ip
iptables -I INPUT -m set --match-set blacklist src -j DROP
ipset add blacklist 1.2.3.4
ipset add blacklist 1.2.3.5
Но как может Вы ограничение скорости ipset, названный черным списком? Что-то как?
iptables -I INPUT -m set --match-set blacklist src -p TCP --dport 80 -m hashlimit --hashlimit 50/sec --hashlimit-burst 10 --hashlimit-name blacklisthash -j DROP
–hashlimit-mode srcip даже необходимый?
спасибо
3
задан Serguei
5 April 2017 в 23:33
Ссылка
1 ответ
Да, это так.
Я сделал простой тест, используя:
ipset create ratelimit hash:ip hashsize 4096
ipset add ratelimit <ip_address>
iptables -I INPUT -m set --match-set ratelimit src -p tcp --dport 80 -m hashlimit --hashlimit 10/sec --hashlimit-name ratelimithash -j DROP
и работал:
Chain INPUT (policy ACCEPT 1537 packets, 89602 bytes)
pkts bytes target prot opt in out source destination
64 7562 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ratelimit src tcp dpt:80 limit: up to 10/sec burst 5
с -гашлимит-режим srcip тоже работал.
2