限制每个IP iptable的UDP连接

Question

我希望限制特定UDP端口的每个IP连接。我让它适用于TCP，但不知怎么它在UDP上不起作用。以下是我的规则：

用于TCP (工作)

iptables -A INPUT -p tcp --syn --dport 7787 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp --syn --dport 7788 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset

用于UDP

iptables -A INPUT -p udp --dport 7787 -m connlimit --connlimit-above 3 -j REJECT
iptables -A INPUT -p udp --dport 7788 -m connlimit --connlimit-above 3 -j REJECT

根据手册页，这应该是可行的(至少我理解它)，但有时我仍然会被单个IP淹没。

Answer 1

您的问题没有意义，因为UDP并没有真正的“联系”。只有一个连接跟踪条目为每个源IP/端口设置。

Answer 2

我认为你真正想要的是基于哈希限制模块的东西。

Answer 3

嗯，这听起来很有道理，你的客户使用少于3个NFCT连接淹没你。