다음을 사용하여 DDoS 공격을 간단히 차단하려고 합니다.
iptables -A INPUT -p udp --dport 27015 -m limit --limit 10/s --limit-burst 20 -j DROP
하지만 다음을 얻으세요:
iptables: 해당 이름과 일치하는 체인/대상/일치가 없습니다.
도움이 필요하세요? 정보?
데비안 9
답변1
현재 문제
iptables를 사용하기 위해 올바른 커널 모듈을 로드하지 않았거나 실행한 iptables 명령이 iptables에서 해석하기에는 너무 모호한 것 같습니다.
몇 가지 출처를 찾았습니다(링크 1 링크 2) 이 참조는 이 문제를 해결하기 위해 플래그 순서를 정리하기 위해 규칙이 적용되는 테이블에 대해 더 구체적입니다.
또한 몇 가지 출처를 찾았습니다(링크 3 링크 4) 이는 커널 모듈이 누락되었을 수 있음을 나타냅니다.
1. iptables 명령에 플래그가 없습니다.
다른 사람들이 겪은 문제를 바탕으로링크 1그리고링크 2, 명령이 너무 모호하여 올바르게 해석되지 않아 문제가 발생할 수 있습니다. 옵션 을 추가하면 -t nat도움이 될 수 있습니다.
iptables -t nat -A INPUT -p udp --dport 27015 -m limit --limit 10/s --limit-burst 20 -j DROP
규칙을 저장하고 다시 시작하거나 iptables 서비스를 직접 다시 시작하세요. 그러면 효과가 있을 것입니다.링크 2POSTROUTING와 의 차이점을 더 자세히 다루세요 PREROUTING. 어떤 것을 선호하는지 확인하고 제안된 수정 사항 중 하나를 따를 수도 있습니다.
2. 커널 옵션 누락
첫 번째 옵션이 작동하지 않으면 올바른 커널 모듈이 누락되었을 수 있습니다. ~에 따르면링크 3그리고링크 4, 누락된 기능을 초기화해야 할 수도 있습니다.
를 사용하면 lsmod설치된 모든 모듈을 나열할 수 있습니다. 누락된 모듈은 아마도 xt_multiport 및 xt_comment와 관련되어 있을 것입니다. 따르다젠투 포럼 게시물, 추가 커널 모듈 세트를 활성화해야 할 수도 있습니다. 을 사용할 때 , 등을 modprobe활성화해 볼 수 있습니다 .netfilterip_tablesip_conntrack
두 개의 링크를 포함하겠습니다.아치 리눅스 위키그리고Docmint 기사커널 모듈을 활성화하는 방법.이 링크는 설명합니다modprobe.net을 사용하여 CentOS용 iptables를 설정하는 올바른 방법
/etc/sysconfig/modules/*.modules또는/etc/rc.modulesecho "modprobe ip_conntrack" >> /path/to/modules/iptables.modules chmod +x /path/to/modules/iptables.modules
이러한 명령을 실행하기 전에 lsmodtoo를 사용하여 활성화한 항목을 확인하고 누락된 항목을 확인하세요. 장기적으로는 먼저 커널이 최신인지 확인하는 것이 더 안전할 것입니다.데비안에서 제공하는 지원 커널입니까?.
결론적으로
iptables 명령의 형식이 올바른지 확인하세요. 올바른 형식만 있으면 요구사항을 충족할 수 있는 다양한 리소스가 있습니다. 링크도 첨부했어요GitHub의 Docker 문제실제로 Debian 기반 Docker 이미지를 사용하는 경우를 대비해 말이죠.
이 답변에 대해 질문이나 문의사항이 있으면 댓글을 남겨주세요. 명령을 시도하기 전에 제가 제공하는 각 링크를 주의 깊게 읽어 보시기 바랍니다. 오해를 바로잡고 게시물을 개선할 수 있도록 피드백을 보내주셔서 감사합니다. 필요한 경우 답변을 업데이트할 수 있습니다.
행운을 빌어요!