reglas para paliar x intentos durante x segundos. Las dejo comentadas

3 years ago · ac087a54ca
parent d23bb3cccc
commit ac087a54ca
1 changed files with 5 additions and 0 deletions
--- a/ddos.txt
+++ b/ddos.txt
@ -3,6 +3,11 @@ iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 --connlimi
 iptables -I INPUT -p tcp --dport 443 -m connlimit --connlimit-above 20 --connlimit-mask 40 -j DROP
 iptables -A INPUT -p tcp -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset

+# Esta es buena tambien. Limitará si la IP intenta más de 20 conesiones en menos de 30 segundos. Dejo varios ejemplos comentados.
+#iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
+#iptables -I INPUT -p tcp --dport 80 -s 111.111.11.1/24 -m state --state NEW -m recent --update --seconds 30 --hitcount 20 -j DROP
+#iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 5 --hitcount 3 -j DROP
+
 # Bloquear tráfico por cantidad de conexiones por unidad de tiempo.
 # Máximo 50 conexiones por segundo, con una ráfaga de 18 conexiones entre segundos
 iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit --limit 50/s --limit-burst 18 -j ACCEPT