Я пытаюсь выяснить правило IPTABLES, чтобы ограничить скорость трафика ICMP (ping) до 5 пакетов в секунду. Вот команда, которую я пробовал до сих пор, но безуспешно:
iptables -A OUTPUT -p icmp -m limit --limit 5/second -j ACCEPT
У кого-нибудь есть идеи как это написать?
Это было довольно стандартным преданием несколько лет назад, когда были распространены smurf атаки. Я не видел ни одного за последние несколько лет, но в любом случае общей защитой было использование этих трех правил:
iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/second -j ACCEPT
Первые два правила необходимы для защиты; если это не ваше беспокойство, просто сбросьте их и используйте другой. В большинстве нормальных ситуаций вы можете быть более суровыми, чем первоначально предполагали, для законного использования достаточно 1 пинга в секунду.
Как видите, указать, что протокол для просмотра - это icmp недостаточно: вам также нужно загрузить модуль icmp , -m icmp .