Điểm:1

Ratelimit IP cho lưu lượng UDP trong danh sách ipset trước khi được gửi qua đường hầm GRE

lá cờ de

Tôi đang sử dụng nat DNAT để chuyển tiếp lưu lượng truy cập trên một cổng nhất định tới một máy chủ Centos khác qua đường hầm GRE, tuy nhiên tôi muốn xếp hạng giới hạn một loạt các IP trung tâm dữ liệu mà tôi có trong danh sách 'danh sách đen' của ipset. Vì vậy, lưu lượng xuất ra đường hầm bị giới hạn tốc độ.

Tôi đã thử giới hạn tốc độ trong tất cả các danh sách FORWARD, INPUT và OUTPUT tuy nhiên giới hạn tốc độ hoàn toàn không hoạt động trong bất kỳ danh sách nào trong số chúng - có thể DNAT tự nhiên bỏ qua nó?.

iptables -A INPUT -m set --match-set danh sách đen src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP
iptables -A FORWARD -m set --match-set danh sách đen src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP
iptables -A OUTPUT -m set --match-set danh sách đen src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP

Nếu tôi thêm danh sách để thả qua 'iptables -A OUTPUT -m set --match-set blacklist src -j DROP' thì nó sẽ dừng tất cả lưu lượng truy cập, vì vậy danh sách IP ipset của tôi chỉ hoạt động chứ không phải giới hạn tốc độ, bất kỳ ai cũng có thể trợ giúp ?

đầu ra iptables:

đầu ra iptables

Đầu ra iptables NAT:

đầu ra tự nhiên của iptables

quy tắc iptables


#!/bin/sh
iptables -F
Sudo iptables -t nat -F
iptables -t nat -X
Sudo iptables -t mangle -F
Sudo iptables -t mangle -X
Sudo iptables -t raw -F
Sudo iptables -t raw -X
sudo iptables -t bảo mật -F
Sudo iptables -t security -X
Sudo iptables -F
Sudo iptables -X
Sudo iptables -P CHẤP NHẬN ĐẦU VÀO
sudo iptables -P CHẤP NHẬN CHUYỂN ĐỔI
Sudo iptables -P CHẤP NHẬN ĐẦU RA

iptables -A INPUT -i lo -j CHẤP NHẬN
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate MỚI, ĐÃ THÀNH LẬP -j CHẤP NHẬN
sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate THÀNH LẬP -j CHẤP NHẬN

iptables -A INPUT -m set --match-set danh sách đen src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP
iptables -A FORWARD -m set --match-set danh sách đen src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP
iptables -A OUTPUT -m set --match-set danh sách đen src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP

iptables -t nat -A POSTROUTING -s 192.168.168.0/30 ! -o gre+ -j SNAT --to-source 20&&&&&&&&&&&&

iptables -A INPUT -s 192.168.168.2/32 -j CHẤP NHẬN

iptables -I INPUT -m state --state ĐÃ THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN


iptables -A INPUT -p gre -j CHẤP NHẬN
iptables -A ĐẦU RA -p gre -j CHẤP NHẬN

iptables -t nat -A PREROUTING -d 20&&&&&&&&&&&& -p udp --dport 30000 -j DNAT --to-destination 192.168.168.2


iptables -A OUTPUT -j DROP
iptables -P INPUT DROP

Điểm:1
lá cờ de

Có vẻ như đây là quy tắc tốt hơn - dừng giao thông trước khi đi qua đường hầm GRE vượt quá giới hạn

iptables -t mangle -A PREROUTING -p udp --dport 30000 -m set --match-set danh sách đen src -m hashlimit --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-above 100/sec --hashlimit -tên bài kiểm tra -j DROP

-hashlimit-srcmask 24 - để nhóm lưu lượng truy cập đến thành /24 nhóm

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.