Unix IPTables-在特定条件下阻止端口
作为一个刚开始使用IPTables的人,我有一个问题,我希望stackoverflow能在我接受IPTables man文件并做一些我后悔的事情之前帮上忙 我有一个IPtables规则,在达到特定连接限制时阻止传入请求:Unix IPTables-在特定条件下阻止端口,unix,iptables,Unix,Iptables,作为一个刚开始使用IPTables的人,我有一个问题,我希望stackoverflow能在我接受IPTables man文件并做一些我后悔的事情之前帮上忙 我有一个IPtables规则,在达到特定连接限制时阻止传入请求: iptables -A INPUT -p tcp --syn --dport 7000 -m connlimit --connlimit-above 3500 --connlimit-mask 0 -j REJECT 我的问题是,当端口7000上的连接达到某个限制时,是否可以
iptables -A INPUT -p tcp --syn --dport 7000 -m connlimit --connlimit-above 3500 --connlimit-mask 0 -j REJECT
我的问题是,当端口7000上的连接达到某个限制时,是否可以阻止ICMP(PING)响应
提前感谢。答案是否定的。如果要阻止ICMP,请使用-p ICMP而不是-p tcp 还有一件事需要澄清:ICMP是layer3协议,但端口号是在layer4中定义的。因此,在ICMP中永远找不到端口号概念
(您可以在此处查看ICMP数据包格式:)我怀疑您需要类似fail2ban的东西来实现类似的功能。这并非完全不可能,但并不推荐(疯狂的想法)。您可以在达到限制后使用iptables登录,然后cron会每分钟检查内核日志中的任何端口7000。如果找到任何端口7000,将激活iptables规则以删除所有icmp。