之前在公司伺服器上部署了sftp,用於上傳業務系統的附件。後來由於程式連線問題,使的sftp連線數過多(最多時高達400多個sftp連線數),因為急需要對sftp的連線數做嚴格限制。操作記錄如下:
啟動sftp本機的iptables防火牆功能,限制每個ip連線22埠(sftp連線埠即是ssh埠)最大為50個,當超過50後的連線數的流量就會被DROP掉! 同時iptables需要開放50000-65535範圍的埠的訪問(linux系統最大的埠為65535) [root@localhost ~]# cat /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT #-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP -A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT #-A INPUT -j REJECT --reject-with icmp-host-prohibited //注意這兩行需要註釋掉!否則設定的策略無效! #-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT =================================解釋說明=========================================== 上面限制埠連線數主要用到的模組是connlimit。 -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP 說明輸入的目標埠是22,也就是訪問sftp本機22埠的流量,如果連線數大於50,則DROP掉流量! connlimit-above這個是連線數的統計, 如果大於50就滿足條件,connlimit-mask這個是定義那組主機,此處跟的一個數值是網路位,即子網掩碼,也就是connlimit-mask 0 這個ip組的連線數 大於connlimit-above 50 則DROP掉! 總體描述為流量過濾埠和連線數以及網路位,如果滿足第一條,則拒絕,流量不再匹配下邊的規則,如果不匹配,則第二條規則會允許流量。 --connlimit-mask 0 即子網掩碼為0,表示所有的ip,也就是說不管來源是什麼ip,只要連線此伺服器的22埠總數超過50個,則DROP掉流量! 如果將--connlimit-mask 0去掉,則子網掩碼預設是32,這是針對單個ip或某一個具體ip連線此伺服器的22埠超過50個,則DROP掉! 如果有51臺機器,每臺機器連線一個,則不會被DROP掉!因為這種情況是針對單個ip連線數限制 (單個ip的連線超過50才被drop) 也就是說connlimit-above 50這個的數量所限制的區域是由--connlimit-mask 0而定!
=============iptables利用connlimit模組限制同一IP連線數==============
connlimit功能: connlimit模組允許限制每個客戶端IP的併發連線數,即每個IP同時連線到一個伺服器個數。 connlimit模組主要可以限制內網使用者的網路使用,對伺服器而言則可以限制每個IP發起的連線數。 connlimit引數: --connlimit-above n #限制為多少個 --connlimit-mask n #這組主機的掩碼,預設是connlimit-mask 32 ,即每個IP. 示例說明: 1) 限制同一IP同時最多100個http連線 # iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT 或者 # iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT 2) 只允許每組C類IP同時100個http連線 # iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 24 -j REJECT 3) 只允許每個IP同時5個80埠轉發,超過的丟棄 # iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP 4) 限制某IP最多同時100個http連線 # iptables -A INPUT -s 172.16.60.51 -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT 5) 限制每IP在一定的時間(比如60秒)內允許新建立最多100個http連線數 # iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 100 -j REJECT # iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
=============使用sftp或ftp協議上傳檔案,上傳檔案大小為0=============
客戶端上傳報錯:error while writing: received failure with description 'Failure'
伺服器端/var/log/message報錯:sftp-server[15747]: error: process_write: write failed
造成這個錯誤大致就兩個原因:
1) ulimit限制.
在sftp連線使用的賬號下增大ulimit的值
# ulimit -n 65535
2) 磁碟空間不夠了
======================iptables限制同一IP連線數,預防CC/DDOS攻擊======================
1)限制與80埠連線的IP最大連線數為50,可自定義修改。(這裡指的是每個ip與80埠的連線數最大為50,超過50則丟棄. 如果加上--connlimit-mask 0 , 則表示所有ip與80埠的連線最大為50!) [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP 2)使用recent模組限制同IP時間內新請求連線數。 下面策略表示:60秒有10個新連線,超過記錄日誌。 [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options 下面策略表示:60秒10個新連線,超過丟棄資料包 [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP 可以在iptables配置檔案中 [root@localhost ~]# vim /etc/sysconfig/iptables //刪除原來的內容輸入如下內容 儲存 # Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010 *filter :INPUT DROP [385263:27864079] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4367656:3514692346] -A INPUT -i lo -j ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name WEB --rsource -A INPUT -p tcp -m tcp --dport 80 -m state –-state NEW -m recent --update --seconds 5 --hitcount 20 --rttl --name WEB --rsource -j DROP -A INPUT -p tcp -m multiport –-ports 21,22,80 -j ACCEPT -A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m ttl -–ttl-eq 117 -j DROP -A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m length --length 0:40 -j DROP -A INPUT -p tcp -m tcp ! -–tcp-flags SYN,RST,ACK SYN -m state –-state NEW -j DROP COMMIT # Completed on Sun Dec 12 23:55:59 2017 以上配置,說明此設定僅對外開放21(FTP),22(SSH),80(http網站)三個TCP埠。設定80埠5秒內20個連線。 [root@localhost ~]# /etc/init.d/iptables restart