linux – iptables中的源IP速率限制:hashlimit vs recent

前端之家收集整理的这篇文章主要介绍了linux – iptables中的源IP速率限制:hashlimit vs recent前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我想在iptables中对每个源IP执行速率限制.例如,将主机可以建立新SSH连接的速率限制为每分钟5次.据我所知,有两种方法可以做到这一点:

使用hashlimit模块

iptables -A INPUT -p tcp --dport 22 -m state --state NEW \
  -m hashlimit --hashlimit-name SSH --hashlimit-above 5/min \
  --hashlimit-mode srcip -j REJECT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

随着最近的模块

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent \
  --rcheck --seconds 60 --hitcount 5 --name SSH --rsource -j REJECT
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW \
  -m recent --set --name SSH --rsource -j ACCEPT

我的问题:

>这两者的表现有什么不同?
>重视绩效,哪一个更好?
>使用这两个模块有明显的缺点吗?

解决方法

Is there any difference in how these two will behave?

不,你写的东西在功能上会做同样的事情.

With an emphasis on performance,which one is preferable?

可以说,最近有更好的性能,因为它维护一个表,但不使用散列桶.

Is there a significant downside to using both modules?

我不确定你为什么要同时使用它们.当您只需要两个模块时,您将会对性能产生影响.

猜你在找的Linux相关文章