DOS攻撃を防御するためにiptablesのrecentモジュールを利用する
設定内容:
#各IPのHTTP併発要求の最大値を設定
iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 10 -j DROP
# /proc/net/xt_recent/HTTPに作成したばかりリクエストを記録
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –set –name HTTP
# 同じ送信元アドレス11回に達すると、LOGに記録される
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 11 –name HHTP -j LOG –log-prefix “HHTP Attach: "
# 同じ送信元アドレス11回に達すると、アクセスが拒否される
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 11 –name SSH -j DROP