Bổ trợ match dstlimit filter

Một phần của tài liệu tìm hiểu và cài đặt hệ thống firewall kết hợp với proxy để bảo vệ hệ thống mạng bên trong (Trang 45 - 46)

OPTION DEFINITION

--dstlimit

<average> Số lượng gói tin trung bình tối đa sẽ match trong một giây.

--dstlimit-mode

<mode> Định nghĩa giới hạn cho từng IP (dstip), từng IP và danh sách cổng (dstip-dstport), từng địa chỉ IP nguồn và địa chỉ IP đích (srcip-dstip), hoặc từng địa chỉ IP nguồn, địa chỉ IP đích và danh sách cổng đích (srcipdstip-dstport).

--dstlimit-name

<name> Chỉ ra tên tập tin sẽ được lưu trong /proc/net/ipt_dstlimit/.

[--dstlimit-burst

<burst>] Chỉ ra số lượng tối đa gói tin ban đầu sẽ match. Mặc định là 5.

[--dstlimit-htable-

size <size>] Xác định kích thước của bảng hash.

[--dstlimit-htable-

max <entries>] Xác định số lượng mục tối đa trong bảng hash.

[--dstlimit-htable- gcinterval

<interval>]

Xác định khoảng thời gian sẽ dọn rác trong bảng hash. Giá trị cho <interval> được tính với đơn vị milliseconds, và giá trị mặc định là 1000 ms.

iptables -A INPUT -i eth0 \

-p icmp --icmp-type echo-request \ -m limit --limit 1/second -j ACCEPT

iptables -A INPUT -i eth0 \

-p icmp --icmp-type echo-request -j DROP iptables -A INPUT -i eth0 -p icmp \

--icmp-type echo-request -m limit --limit 1/second -j LOG

Trang 45

[--dstlimit-htable-

expire <time>] Xác định lượng thời gian khi một mục không làm việc trong bảng hash sẽ được loại bỏ. Giá trị cũng được tính theo đơn vị milliseconds, và mặc định là 10000 ms.

Bảng 2.13 Bổ trợ match dstlimit filter

Loại match này ít được sử dụng vì nó áp dụng trên từng địa chỉ đích cụ thể. Như vậy luật sẽ phức tạp, quá chi tiết, dẫn đến tập luật sẽ trở nên nặng nề.

Một phần của tài liệu tìm hiểu và cài đặt hệ thống firewall kết hợp với proxy để bảo vệ hệ thống mạng bên trong (Trang 45 - 46)

Tải bản đầy đủ (PDF)

(127 trang)