Отбросить первый пакет с iptables
Наши серверы подвергаются IP-атакам с использованием спуфинга UDP. Я думаю, что мы можем решить эту проблему с помощью iptables, и я хочу создать правило с помощью iptables.
Когда ip пытается отправить пакет udp, iptables блокирует это. И после этого первого пакета в течение 10 секунд. другие пакеты будут приниматься.
Как я могу сделать это с помощью iptables?
Попытка
iptables -A INPUT -p udp [--dport 12345] -m recent --name attack --set
iptables -A INPUT -p udp [--dport 12345] -m recent --name attack --rcheck --seconds 10 --hitcount 2 -j ACCEPT
iptables -A INPUT -p udp [--dport 12345] -j DROP
Это должно разрешить второй и последующие пакеты с любого заданного адреса в скользящем десятисекундном окне; другие будут сброшены. Как обычно, размещение их в нужном месте в существующем наборе правил жизненно важно и ваша проблема. Если вы не ограничиваете это портом, убедитесь, что вы не блокируете ответы DNS (и другие ответы на основе UDP, которые вы можете счесть желательными).