iptables實戰:用hashlimit來限速
iptables是用來設置、維護和檢查Linux內核的IP包過濾規則的,iptables可以定義不同的表,每個表都包含幾個內部的鏈,也能包含用戶定義的鏈。hashlimit是iptables的一個匹配模塊,用它結合iptables的其它命令可以實現限速的功能(注意,單獨hashlimit模塊是無法限速的)。
不過首先必須明確,hashlimit本身只是一個“匹配”模塊。我們知道,iptables的基本原理是“匹配--處理”,hashlimit在這個工作過程中只能起到匹配的作用,它本身是無法對網絡數據包進行任何處理的。我看到網上有些hashlimit的例子里面說只 用一條包含hashlimit匹配規則的iptables語句就可以實現限速,那是錯誤的。
實際上,利用hashlimit來限速需要包括兩個步驟:
1.對符合hashlimit匹配規則包放行
2.丟棄/拒絕未放行的包
下面是一個簡單的例子:
- iptables -A INPUT -p tcp --dport 22 -m hashlimit --hashlimit-name ssh
- --hashlimit 5/sec
- --hashlimit-burst 10
- --hashlimit-mode srcip
- --hashlimit-htable-expire 90000 -j ACCEPT
- iptables -A INPUT -p tcp --dport 22 -j DROP
然后,我們來著重講講hashlimit模塊具體是如何工作的。
hashlimit的匹配是基于令牌桶 (Token bucket)模型的。令牌桶是一種網絡通訊中常見的緩沖區工作原理,它有兩個重要的參數,令牌桶容量n和令牌產生速率s。我們可以把令牌當成是門票,而令牌桶則是負責制作和發放門票的管理員,它手里最多有n張令牌。
一開始,管理員開始手里有n張令牌。每當一個數據包到達后,管理員就看看手里是否還有可用的令牌。如果有,就把令牌發給這個數據包,hashlimit就告訴iptables,這個數據包被匹配了。而當管理員把手上所有的令牌都發完了,再來的數據包就拿不到令牌了。這時,hashlimit模塊就告訴iptables,這個數據包不能被匹配。除了發放令牌之外,只要令牌桶中的令牌數量少于n,它就會以速率s來產生新的令牌,直到令牌數量到達n為止。通過令牌桶機制,即可以有效的控制單位時間內通過(匹配)的數據包數量,又可以容許短時間內突發的大量數據包的通過(只要數據包數量不超過令牌桶n)。
hashlimit模塊提供了兩個參數--hashlimit和--hashlimit-burst,分別對應于令牌產生速率和令牌桶容量。除了令牌桶模型外,hashlimit匹配的另外一個重要概念是匹配項。在hashlimit中,每個匹配項擁有一個單獨的令牌桶,執行獨立的匹配計算。通過hashlimit的--hashlimit-mode參數,你可以指定四種匹配項及其組合,即:srcip(每個源地址IP為一個匹配項),dstip(每個目的地址IP為一個匹配項),srcport(每個源端口為一個匹配項),dstport(每個目的端口為一個匹配項)
除了前面介紹的三個參數外,hashlimit還有一個必須要用的參數,即--hashlimit-name。 hashlimit會在/proc/net/ipt_hashlimit目錄中,為每個調用了hashlimit模塊的iptables 命令建立一個文件,其中保存著各匹配項的信息。--hashlimit-name參數即用來指定該文件的文件名。
好了,以上我們已經介紹了hashlimit的工作原理和相應的參數,下面我們來看幾個例子。
首先是前面的那個例子:
- iptables -A INPUT -p tcp --dport 22 -m hashlimit --hashlimit-name ssh --hashlimit 5/sec --hashlimit-burst 10 --hashlimit-mode srcip -j ACCEPT
- iptables -A INPUT -p tcp --dport 22 -j DROP
在了解了hashlimit各參數的含義之后,我們現在就可以知道這兩條iptables命令的作用。
第一條的作用是,為所有訪問本機22端口的不同IP建立一個匹配項,匹配項對應的令牌桶容量為10,令牌產生速率為5個每秒。放行通過匹配的數據包。
第二條的作用是,丟棄所有其它訪問本機22端口的數據包。
通過這兩條命令,我們就實現了限制其它機器對本機22端口(ssh服務)頻繁訪問的功能.
再來我們看一個復雜點的限速。假設我們現在在一臺NAT網關上,想限制內部網某個網段 192.168.1.2/24對外的訪問頻率。(這個的主要作用是限制內部中毒主機對外的flood攻擊)
那我們可以這么做:
- iptables -N DEFLOOD
- iptables -A FORWARD -s 192.168.1.2/24 -m state --state NEW -j DEFLOOD
- iptables -A DEFLOOD -m hashlimit --hashlimit-name deflood --hashlimit 10/sec --hashlimit-burst 10 --hashlimit-mode srcip -j ACCEPT
- iptables -P DEFLOOD -j DROP
第一條命令建立了一個自定義的處理鏈
第二條命令,所有來自192.168.1.2/24網段,并且打算新建網絡連接的數據包,都進入DEFLOOD鏈處理
第三條命令,在DEFLOOD鏈中,為每個IP建立一個匹配項,對應令牌桶容量為10,產生速率為10個每秒。放行通過匹配的數據包。
第四條命令,在DEFLOOD鏈中丟棄所有其它的數據包
當然,hashlimit還有一些其他的參數,比如
- --hashlimit-htable-expire
- --hashlimit-htable-size
- --hashlimit-htable-max
具體可以man iptables。
iptables實戰中關于用hashlimit來限速的內容介紹完了,希望通過本文iptables實戰內容的學習能對你有所幫助。
