이것을 따르라기사nftables에서1분 안에 10개 이상의 새로운 수신 TCP 연결을 시도하는 IP 주소 차단이와 같은 화이트리스트를 추가하는 방법은 무엇입니까 ip saddr != { ip1, ip2,... }?
table ip filter {
set denylist {
type ipv4_addr
flags dynamic,timeout
timeout 1m
}
chain input {
type filter hook input priority filter; policy accept;
ip protocol tcp ct state new,untracked update @denylist { ip saddr limit rate over 10/minute } drop
}
}
답변1
이것은 나에게 효과적입니다
# rate limits
ip saddr != { $IP1, $IP2 } ip protocol tcp ct state new,untracked limit rate over 2/second update @denylist { ip saddr }
ip saddr @denylist drop