LinuxParty

Inicie la función de firewall de iptables de la máquina sftp y limite cada conexión ip a 22 puertos (el puerto de conexión sftp es el puerto ssh) a un máximo de 50. ¡Cuando el tráfico exceda el número de conexiones después de 50, se descartará!

Al mismo tiempo, iptables necesita abrir el acceso a puertos en el rango de 50000-65535 (sistema linuxEl puerto más grande es 65535)

[root@localhost ~]# cat /etc/sysconfig/iptables

    # Firewall configuration written by system-config-firewall
    # Manual customization of this file is not recommended.
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    #-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT
     # -A INPUT -j REJECT --reject-with icmp-host-prohibido // ¡Tenga en cuenta que estas dos líneas deben ser comentadas! De lo contrario, la estrategia establecida no es válida.
    #-A FORWARD -j REJECT --reject-with icmp-host-prohibited
    COMMIT

Explicación

El módulo principal que se utiliza para limitar el número de conexiones de puerto anterior es connlimit.

-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP

El puerto de destino de entrada es 22, es decir, el tráfico para acceder al puerto 22 de la máquina local sftp. Si el número de conexiones es mayor que 50, entonces hace DROP el tráfico (de todas las conexiones), "connlimit-above" son las estadísticas del número de conexiones.

Si es mayor que 50, la condición se cumple. Connlimit-mask define el grupo de hosts. El valor que se sigue aquí es el bit de red, que es la máscara de subred, que es "connlimit-mask 0". Si el número de conexiones en el grupo ip es mayor que connlimit-por encima de 50, entonces DROP!

La descripción general es el puerto de filtrado de tráfico y el número de conexiones y bits de red. Si se cumple el primero, se rechazará y el tráfico ya no coincidirá con las reglas siguientes. Si no coincide, la segunda regla permitirá el tráfico.

--connlimit-mask 0 Es decir, la máscara de subred es 0, lo que significa todas las ips, es decir, no importa qué ip, siempre y cuando haya más de 3 puertos 22 conectados a este servidor, entonces DROP.

Si elimina --connlimit-mask 0, la máscara de subred predeterminada es 32, es decir, si cierta ip se conecta a este servidor, hay 50 puertos más de 22, entonces DROP!

Si hay 51 máquinas y cada máquina está conectada a una, ¡no se caerán!

Es decir, el área restringida por el número de connlimit-por encima de 3 está determinada por --connlimit-mask 0!

Utilice el protocolo sftp o ftp para cargar archivos, el tamaño del archivo de carga es 0

Error de carga del cliente: error al escribir: error recibido con descripción 'Error'
 El servidor /var/log/message informa de un error: sftp-server [15747]: error: process_write: error de escritura

Hay aproximadamente dos razones para este error:

1) límite ulimit.
 Aumente el valor de ulimit en la cuenta utilizada por la conexión sftp
 # ulimit -n 65535
 2) No hay suficiente espacio en disco

iptables limita la cantidad de conexiones a la misma IP para evitar ataques CC / DDOS

1) Limite el número máximo de conexiones IP conectadas al puerto 80 a 50, que se pueden personalizar y modificar.

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP

2) Utilice el módulo reciente para limitar la cantidad de conexiones recién solicitadas dentro del mismo tiempo de IP.

La siguiente estrategia dice: Hay 10 nuevas conexiones en 60 segundos, lo que excede el registro.

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options

La siguiente estrategia indica: 10 nuevas conexiones en 60 segundos, más que descartar paquetes

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP

Puede estar en el archivo de configuración de iptables

[root @ localhost ~] # vim /etc/sysconfig/iptables  

# Elimine el contenido original e ingrese el siguiente contenido Guardar
# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2022
*filter
:INPUT DROP [385263:27864079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4367656:3514692346]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name WEB –rsource
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 5 –hitcount 20 –rttl –name WEB –rsource -j DROP
-A INPUT -p tcp -m multiport –ports 21,22,80 -j ACCEPT
# -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m ttl –ttl-eq 117 -j DROP
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m length –length 0:40 -j DROP
-A INPUT -p tcp -m tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP
COMMIT
# Completed on Sun Dec 12 23:55:59 2022

La configuración anterior muestra que esta configuración solo abre tres puertos TCP 21 (FTP), 22 (SSH) y 80 (sitio web http). Configure el puerto 80 en 20 conexiones en 5 segundos.

[root@localhost ~]# /etc/init.d/iptables restart