### tuple ### limit tcp 25 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 25 -m state --state NEW -m recent --set
-A ufw-user-input -p tcp --dport 25 -m state --state NEW -m recent --update --seconds 6 --hitcount 12 -j ufw-user-limit
-A ufw-user-input -p tcp --dport 25 -j ufw-user-limit-accept

票数 9

Server Fault用户

发布于 2012-04-12 08:50:18

可以在可以找到/lib/ufw/user.rules的UFW规则文件上更改利率限制。

默认情况下，对所有端口都没有启用限制。您应该手动或通过编辑user.rules文件来添加每个端口。

票数 5

Server Fault用户

发布于 2018-03-31 19:01:23

值得指出的是，使用ufw的极限功能可能带来意想不到的后果。

假设对端口22/tcp设置了一个包层限制，作为第一个ufw规则：

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     LIMIT IN    Anywhere                  
...

假设在限制下工作的任何连接仍然可以通过遵循ufw规则和最后的默认策略“拒绝(传入)”来过滤。

至少对于ufw 0.35来说，这种假设是错误的。事实上，逻辑中的极限立即接受没有被限制准则拒绝的任何输入。

在psuedocode中，极限逻辑是

if CONDITION then DENY else ACCEPT

而其他ufw规则似乎有逻辑：

if CONDITION then (DENY|ACCEPT) else continue to next rule。

我个人发现这是ufw限制的意外行为，只有通过意外地在系统日志文件中找到许多端口22登录尝试才发现它，因为其他ufw规则过滤了这些尝试。

行为确认

的细节

ufw插入的iptable代码的相关行如下：

-A ufw-user-input -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 30 --hitcount 6 --name DEFAULT --mask 255.255.255.255 --rsource -j ufw-user-limit
-A ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-accept
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT

上面的清单可以用

iptables -S | grep ufw-user-limit

前两行在ufw-user-input中是连续的，可以用

iptables -S | grep ufw-user-input

票数 1

页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://serverfault.com/questions/368523

复制

相似问题

问UFW限速:设定限值
EN

回答 3

Server Fault用户

Server Fault用户

Server Fault用户

行为确认

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问UFW限速:设定限值EN

回答 3

Server Fault用户

Server Fault用户

Server Fault用户

行为确认

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问UFW限速:设定限值
EN