变相怪杰 发表于 2015-1-14 20:21:05

带来一篇使用shell剧本回绝TCP毗连数年夜于20的IP

如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!比来办事器频仍遭到CC打击,抓包、剖析毗连数后,发明单台办事器的并发毗连数到达5万多,本想使用iptables的connlimit模块对毗连数据举行限定的,无法我接办的这几台办事器都没打此补钉,决意使用shell剧本关于一些毗连数过年夜的IP举行屏障

vi/opt/drop_tcp.sh

#!/bin/sh
netstat-nat-n>/opt/netstat-net.log
file=/opt/drop_ip.log
//判别毗连数年夜于20的IP
/bin/awk-F:/tcp/{a[$(NF-2)]++}END{for(iina)if(a>20)printi}/opt/netstat-net.log>$file
drop_ip=`cat$file|awk{print$2}`
foriptables_ipin$drop_ip
do
//假如iptables的PREROUTING链中,没有呈现过这个IP,则间接用iptables抛弃一切来自这个IP地点发送的哀求
if[$iptables_ip!=$0]&&[-z"`iptables-nvL-tnat|grep$iptables_ip`"];then
/sbin/iptables-tnat-IPREROUTING-s$iptables_ip-jDROP
fi
done

//按期实行此剧本
crontab-e
*/5****sh/opt/drop_tcp.sh

如许关于单IP毗连数凌驾20的举行屏障

为了不iptables划定规矩过于痴肥,也要对已屏障IP举行解封

vi/opt/drop_iptables.sh

#!/bin/sh
iptables=/opt/iptables.log
iptables-save>$iptables
drop_ip1=`cat$iptables|awk/DROP/{print$4}`
foriptables_ip1in$drop_ip1
do
/sbin/iptables-tnat-DPREROUTING-s$iptables_ip1-jDROP
done

//按期实行此剧本
crontab-e
**/3***sh/opt/drop_iptables.sh
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!

再现理想 发表于 2015-1-16 09:48:16

带来一篇使用shell剧本回绝TCP毗连数年夜于20的IP

Windows?是图形界面的,Linux类似以前的?DOS,是文本界面的,如果你运行了图形界面程序X-WINDOWS后,Linux?也能显示图形界面,也有开始菜单、桌面、图标等。

活着的死人 发表于 2015-1-25 13:33:04

随着IT从业人员越来越多,理论上会有更多的人使用Linux,可以肯定,Linux在以后这多时间不会消失。

深爱那片海 发表于 2015-2-2 22:30:17

下面笔者在论坛看到的一个好问题: “安装红旗4.0后,系统紫光输入法自带的双拼方案和我的习惯不一样,如何自定义双拼方案解决?谢谢?”这个问题很简练。

第二个灵魂 发表于 2015-2-8 19:27:37

一些显而易见的小错误还是用vi改正比较方便。以后的大一点的程序就得在Linux下调试了,因为有的头文件在VC里面说找不到。?

金色的骷髅 发表于 2015-2-26 02:48:34

学习Linux,应该怎样学,主要学些什么,一位Linux热心学习者,一段学习Linux的风云经验,历时十二个小时的思考总结,近十位网络Linux学习者权威肯定,为您学习Linux指明方向。

莫相离 发表于 2015-3-8 12:10:18

任何一个叫做操作系统的东西都是这样子构成的:内核+用户界面+一般应用程序。

再见西城 发表于 2015-3-16 05:50:50

其中不乏很多IT精英的心血。我们学透以后更可以做成自己的OS!?

因胸联盟 发表于 2015-3-22 21:50:15

发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担回复每个帖子的义务。它不是技术支持。
页: [1]
查看完整版本: 带来一篇使用shell剧本回绝TCP毗连数年夜于20的IP