nftables速度制限ホワイトリスト

nftables速度制限ホワイトリスト

これに従ってください記事nftablesから1分で10を超える新しい着信TCP接続を試みるIPアドレスをブロックするこのようなホワイトリストを追加するにはip saddr != { ip1, ip2,... }

table ip filter {
        set denylist {
                type ipv4_addr
                flags dynamic,timeout
                timeout 1m
        }

        chain input {
                type filter hook input priority filter; policy accept;
                ip protocol tcp ct state new,untracked update @denylist { ip saddr limit rate over 10/minute } drop
        }
}

答え1

これは私にとって効果的です

# rate limits
ip saddr != { $IP1, $IP2 } ip protocol tcp ct state new,untracked limit rate over 2/second update @denylist { ip saddr }
ip saddr @denylist drop

関連情報