これに従ってください記事nftablesから1分で10を超える新しい着信TCP接続を試みるIPアドレスをブロックするこのようなホワイトリストを追加するにはip saddr != { ip1, ip2,... }
?
table ip filter {
set denylist {
type ipv4_addr
flags dynamic,timeout
timeout 1m
}
chain input {
type filter hook input priority filter; policy accept;
ip protocol tcp ct state new,untracked update @denylist { ip saddr limit rate over 10/minute } drop
}
}
答え1
これは私にとって効果的です
# rate limits
ip saddr != { $IP1, $IP2 } ip protocol tcp ct state new,untracked limit rate over 2/second update @denylist { ip saddr }
ip saddr @denylist drop