Windows system >> Windowsの知識 >  >> Linuxシステムチュートリアル >> Linuxチュートリアル >> hashlimitのiptablesのiptablesのモジュール

hashlimitのiptablesのiptablesのモジュール

  
は、hashlimitのiptablesの
高速化するhashlimitして説明し、他のコマンドと組み合わせマッチングモジュールは、(個々のモジュールが律速されていないことhashlimitに注意)iptablesの速度関数を実装することができるです。試合'モジュールしかし、最初に明確でなければならない、hashlimit自体は&'です。私たちは、iptablesの基本原則を知っている'一致&ndashする;治療', hashlimitのみ自体は任意のネットワークパケット処理を実行することができません。この作品での試合の役割を果たすことができます。
私が唯一のルールは、制限速度を達成することができるマッチングhashlimitステートメントのiptablesを含んでいることを言ったオンラインhashlimitのいくつかの例を見て、それが間違っています。実際に
、制限速度hashlimitを使用する必要があり、2つのステップを含む:マッチングルールパッケージを満たすために1 hashlimit
2.破棄/パケットは、以下
解放しないリジェクト放出は単純な例である:iptablesの - DPORT 22 -m hashlimit&のndash; hashlimit名SSHとのndash; hashlimit 5 /秒とのndash; hashlimitバースト10とのndash; hashlimitモードSRCIP&ndashの; hashlimit-htable-期限切れ90000 -j ACCEPTiptables -A INPUT TCP&ndashの-p INPUT -p TCP&ndashする;

我々はhashlimitモジュールについてお話します
22 -j DROPは、特に焦点を当てDPORTそれがどのように動作しますか。ハッシュ制限の一致は、トークンバケットモデルに基づいています。トークンバケットは、それは2つの重要なパラメータ、トークンバケットとトークン生成レートのn秒を持っている、通信ネットワークの共通バッファ原理です。私たちは、トークンとして切符することができ、トークンバケットは、チャン・トークンの手n個まで持つ管理者のチケットの生産と流通を担当しています。初めに、管理者は彼の手にn個のトークンで始めました。パケットが到着するたびに、管理者は利用可能なトークンがあるかどうかを確認します。もしそうなら、トークンはパケットに送信され、hashlimitはパケットがマッチしたことをiptablesに伝えます。管理者がすべてのトークンを送信し終えると、着信パケットはトークンを取得できません。この時点で、hashlimitモジュールはiptablesにパケットがマッチできないことを伝えます。トークンは、番号nに到達するまで、トークンを発行することに加えて、限りバケット内のトークン数がn未満であるように、それは新しいトークンにsの速度を生成します。効果的に単位時間(マッチング)を制御することができ、及び介してデータ・パケットの短いバーストの多数を許容することができるトークン・バケット・メカニズムを介してデータ・パケットの数、(限りパケットの数は、トークンバケットnを超えていません)。 hashlimitと&がndash; hashlimitバースト、それぞれ、トークン生成レート、およびトークンバケットに対応

hashlimitモジュールは、2つのパラメータとのndashを提供します。トークンバケットモデルに加えて、ハッシュ制限一致のもう1つの重要な概念は一致です。ハッシュ制限では、各一致には独立した一致計算を実行する個別のトークンバケットがあります。 hashlimitとのndashによって、hashlimitモードパラメータは、すなわち、その4試合の種類、およびそれらの組み合わせを指定することができ:各オブジェクトの

SRCIP(ソースごとIPアドレスが一致している)、DSTIP(IPアドレス一致)、srcport(各ソースポートが一致している)、DstPortの(宛先ポートマッチとして各)

先に説明した3つのパラメータに加えて、hashlimitが使用されなければなりませんパラメータ、つまり - hashimit-name。 hashlimitは、各コールhashlimitモジュールiptablesのためでは/proc /ipt_hashlimit /netディレクトリになり、各試合の情報を保持するファイルを作成するコマンド。 - ndash; hashlimit-nameパラメータは、ファイルのファイル名を指定するために使用されます。さて、上記で私たちはhashlimitの動作原理と対応するパラメータを紹介しました。第一は、その実施例の前にある:のiptables -A INPUT -p TCPとのndash; hashlimit名SSHとのndash; hashlimit 5 /秒とのndash; hashlimitバースト10とのndash; hashlimitモードSRCIP -j ACCEPTiptables -A 22 -m hashlimit&ndashのDPORT INPUT -p tcpの&ndashのは、各パラメータhashlimitの意味を理解することで22 -j DROP DPORT、我々は今、これらの二つのiptablesコマンドの役割を知ることができます。最初のアクションは、一致、対応するトークンバケット10の試合、すべてのネイティブIP 22の異なるポートにアクセスするための第2あたり5のトークン生成レートを確立することです。一致したパケットを解放します。第2の機能は、ローカルマシン22のポートにアクセスする他の全てのパケットを破棄することである。これら二つのコマンドでは、我々はマシン(SSHサービス)機能の22個のポートに他のマシン頻繁な訪問の制限を実現しました。私たちは、制限速度に複雑なポイントを見に来て。私たちは、NATゲートウェイに今あるネットワークセグメントへの内部ネットワークの192.168.1.2/24外国周波数のアクセスを制限するとします。私たちが行うことができます(主な役割は、フラッド攻撃を中毒内部と外部のホストを制限することがある):

は、-N DEFLOODiptables -A FORWARD -s 192.168.1.2/24 -m状態をiptablesの&ndashする; NEW -jを述べますDEFLOODiptables -A dEFLOOD -m hashlimit&のndash; hashlimit名deflood&ndashの; hashlimit 10 /秒とのndash; hashlimitバースト10とのndash; hashlimitモードSRCIP -j ACCEPTiptables -P dEFLOOD -j DROPの

最初のコマンド我々は、DEFLOOD鎖に、処理チェーンDEFLOOD第3のコマンドにすべてのネットワーク・セグメントから第2のコマンド処理チェーンカスタム192.168.1.2/24、およびネットワーク接続のために意図新しいパケットデータを、確立された各一致し、対応するトークンバケット10、毎秒10の発生率を確立するためにIP。一致したパケットを解放します。第4のコマンド、廃棄DEFLOOD鎖他のすべてのパケットは、当然のことながら、このようなのndash&などの他のパラメータは、あるhashlimit; hashlimit-htable-期限切れとのndash; hashlimit-htableサイズとのndash; hashlimit-htable-MAXは、具体的には人は、上記iptablesのhashlimitモジュールの原理と使い方を紹介しました。

Copyright © Windowsの知識 All Rights Reserved