O iptables global ou ip do usuário é específico?

Question

O iptables global ou ip do usuário é específico?

#1 resposta do (3 votos)

1

Por exemplo, para minha porta do servidor da Web, tenho a seguinte regra:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 1/m --limit-burst 15 -j ACCEPT #If you spam concurrently for 15 times ++ you'll be blocked for 1 minute ~

Que basicamente se um usuário usar o botão de atualização no navegador ou manter pressionada a tecla F5, ele irá bloqueá-lo até que o intervalo restante de 1 / m seja concluído.

Minha pergunta é: quando o limite é atingido, o usuário não pode se conectar mais. Isso significa SOMENTE que o usuário não pode se conectar ou isso significa que a porta 80 está desativada para todos os outros também?

iptables linux

por NiCk Newman 05.06.2015 / 22:48

1 resposta

Tags iptables linux

Mediatomb apt source no Debian Jessie Converta a imagem horizontal em vertical usando imagemagick, preenchendo o espaço vazio com preto

score 3 · Accepted Answer

Todos. A correspondência limit não tem qualificações adicionais.

hashlimit match é mais configurável.

extensões iptables via homem iptables .

Observe que muitos "usuários" podem estar por trás de um IP (NAT, proxy HTTP, CGNAT).

Não tenho ideia de qual seria a melhor prática aqui. Mas esta implementação não parece útil porque o HTTP suporta conexões persistentes. O mod_evasive do Apache seria melhor desse ponto de vista.

Se você não usa conexões persistentes, você será bloqueado imediatamente com esse limite. O site médio carrega 100 recursos (!)