Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
6.7. nftables を使用した接続の量の制限
nftables を使用して、接続の数を制限したり、一定の数の接続の確立を試みる IP アドレスをブロックして、システムリソースを過剰に使用されないようにします。
6.7.1. nftables を使用した接続数の制限
nft ユーティリティーの ct count パラメーターを使用すると、管理者は接続数を制限することができます。この手順では、着信接続を制限する方法の基本的な例を説明します。
前提条件
- example_table にベースの example_chain が存在する。
手順6.19 nftables を使用した接続数の制限
- IPv4 アドレスから
SSHポート (22) への 2 つの同時接続のみを許可し、同じ IP からのすべての接続を拒否するルールを追加します。# nft add rule ip example_table example_chain tcp dport ssh meter example_meter { ip saddr ct count over 2 } counter reject
- 必要に応じて、前の手順で作成した meter を表示します。
# nft list meter ip example_table example_meter table ip example_table { meter example_meter { type ipv4_addr size 65535 elements = { 192.0.2.1 : ct count over 2 , 192.0.2.2 : ct count over 2 } } }
elementsエントリーは、現時点でルールに一致するアドレスを表示します。この例では、elementsは、SSH ポートへのアクティブな接続がある IP アドレスを一覧表示します。出力には、アクティブな接続の数を表示しないため、接続が拒否された場合は表示されないことに注意してください。