7
Im Moment habe ich diese Regeln:IPTables Ratenbegrenzung pro Ziel-IP und Port
iptables -I FORWARD -p udp -d {IPDST} --dport {PORTDST} -m u32 --u32 '0>>22&[email protected]=0xFFFFFFFF' -j SRCDS-TRF
iptables -I SRCDS-TRF -p udp -d {IPDST} --dport {PORTDST} -m u32 --u32 '0>>22&[email protected]&0xFFFF=0x5453' -m limit --limit 45/second --limit-burst 150 -j ACCEPT
iptables -I SRCDS-TRF -p udp -d {IPDST} --dport {PORTDST} -m u32 --u32 '0>>22&[email protected]&0xFF=0x55' -m limit --limit 3/second --limit-burst 20 -j ACCEPT
iptables -I SRCDS-TRF -p udp -d {IPDST} --dport {PORTDST} -m u32 --u32 '0>>22&[email protected]&0xFF=0x56' -m limit --limit 3/second --limit-burst 15 -j ACCEPT
iptables -I SRCDS-TRF -p udp -d {IPDST} --dport {PORTDST} --sport 27005 -m u32 --u32 '0>>22&[email protected]&0xFF=0x71' -m limit --limit 20/second --limit-burst 70 -j ACCEPT
iptables -I SRCDS-TRF -p udp -d {IPDST} --dport {PORTDST} ! --sport 27005 -m u32 --u32 '0>>22&[email protected]&0xFF=0x71' -m limit --limit 2/second --limit-burst 17 -j ACCEPT
iptables -I SRCDS-TRF -p udp -d {IPDST} --dport {PORTDST} --sport 27005 -m u32 --u32 '0>>22&[email protected]&0xFF=0x6b' -m limit --limit 20/second --limit-burst 70 -j ACCEPT
iptables -I SRCDS-TRF -p udp -d {IPDST} --dport {PORTDST} ! --sport 27005 -m u32 --u32 '0>>22&[email protected]&0xFF=0x6b' -m limit --limit 2/second --limit-burst 17 -j ACCEPT
Dies funktioniert aber ich habe viele dieser Regeln pro IP und Port zu erstellen. Wenn ich kein IP-Ziel und kein Port-Ziel angeben, wirkt es insgesamt eher als ein Paketlimit als pro IP. Dies führt zu Problemen, wenn eine Anwendung einen hohen Datenverkehr erhält und der Rest von ihnen ebenfalls ratenbegrenzt wird.
Gibt es eine einfachere Möglichkeit, nur einen Regelsatz zu erstellen, anstatt potenziell Hunderte zu erstellen?