iptables防火墙之limit限制方法分享

本节介绍iptables --limit --limit-burst的用法。

它们主要用于：
1、限制特定包传入速度
2、限制特定端口传入频率
3、使用--limit限制ping的一个例子
4、用户自定义使用链
5、防范SYN-Flood碎片攻击

下面分解开进行详细介绍。

1、限制特定包传入速度
参数 -m limit --limit
范例：
 

说明 用来比对某段时间内封包的平均流量，上面的例子是用来比对：每小时平均流量是否超过一次 3 个封包。 除了每小时平均
次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后： /second、 /minute、/day。 除了进行封
数量的比对外，设定这个参数也会在条件达成时，暂停封包的比对动作，以避免因骇客使用洪水攻击法，导致服务被阻断。

2、限制特定包瞬间传入的峰值
参数 --limit-burst
范例：
 

说明 用来比对瞬间大量封包的数量，上面的例子是用来比对一次同时涌入的封包是否超过 5 个（这是默认值），超过此上限的封
将被直接丢弃。使用效果同上。

3、使用--limit限制ping的一个例子
限制同时响应的 ping (echo-request) 的连接数
限制每分只接受一個 icmp echo-request 封包（注意：当已接受1个icmp echo-request 封包后，
iptables将重新统计接受之后的一秒内接受的icmp echo-request 封包的个数，此刻为0个，所以它会继续接受icmp echo-request包，
出现的结果是你在1分钟时间内将看到很多：
 

响应结果，若同时开好几个ping窗口，任一时刻只有一个会有响应//--limit 1/m 所限制）：
 

4、用户自定义使用链
 

5、防范 SYN-Flood 碎片攻击