Iptables防火墻connlimit模塊擴展匹配規(guī)則

connlimit模塊的作用是限制請求報文對特定服務(wù)的并發(fā)連接數(shù)限制的，例如Telnet服務(wù)，默認情況下沒有并發(fā)連接數(shù)的限制，可以允許n個客戶端同時連接，如果應(yīng)用了connlimit模塊，可以對并發(fā)連接數(shù)進行限制。

connlimit模塊常用參數(shù)：

• --connlimit-upto：如果現(xiàn)有連接數(shù)小于或等于設(shè)置的并發(fā)連接數(shù)值，那么就放行。
• --connlimit-above：如果現(xiàn)有連接數(shù)大于設(shè)置的并發(fā)連接數(shù)值，那么就放行。

案例：每個客戶端主機僅允許同時對本機發(fā)起兩個ssh連接。

數(shù)據(jù)流入的操作，在INPUT鏈的filter表添加相應(yīng)的規(guī)則。

1）編寫具體的防火墻規(guī)則

[root@jxl-1 ~]# iptables -t filter -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT

2）查看設(shè)置的規(guī)則

[root@jxl-1 ~]# iptables -L -n -v --line-number 
Chain INPUT (policy ACCEPT 52358 packets, 43M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 #conn src/32 > 2 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 52598 packets, 68M bytes)
num   pkts bytes target     prot opt in     out     source               destination 

3）測試效果

同時登陸兩個ssh沒問題，第三個時就提示無法連接了。

Iptables防火墻time模塊擴展匹配規(guī)則

time模塊的作用是根據(jù)時間范圍來匹配報文，例如在上午的8點30到下午18點30關(guān)于瀏覽淘寶的報文都拒絕。

time模塊的常用參數(shù)：

• --timestart：指定開始時間。
• --timestop：指定結(jié)束時間。
• --monthdays：指定一個月中的某一天。
• --weekdays：指定一周中的周期，例如1-7。
• --kerneltz：使用內(nèi)核時區(qū)的時間。

可以在參數(shù)前面加!號表示去反。

time模塊默認使用的實際UTC時間，UTC時間比我們正常的時間慢8小時。

案例：在周一到周五的8:00到18:00禁止訪問淘寶網(wǎng)站。

此案例也是將防火墻看做了是路由器，在流量流出時定義防火墻規(guī)則，也就是在防火墻的OUTPUT鏈定義規(guī)則。

1）編寫防火墻規(guī)則

在周一到周五的8點到18點時間段，所有發(fā)往taobao.com的TCP 80端口的報文都會被拒絕。

[root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp -d taobao.com --dport 80 -m time --timestart 00:00 --timestop 10:00 --weekdays 1,2,3,4,5 -j DROP

2）查看設(shè)置的防火墻規(guī)則

淘寶網(wǎng)的地址有很多，寫入防火墻后，會將解析出來的多個IP地址都寫入到表中，如下圖所示。

3）測試效果

在周一到周五的早上8點到晚上18點的范圍之間，再想訪問淘寶網(wǎng)，則會被攔截。