В настоящее время я атакован поддельными udp-пакетами. Каждый поддельный IP-адрес пытается отправить только 1 пакет UDP за 30 секунд. Но есть тонны ip.
Мне нужно сбросить первый пакет. Но если тот же srcip через 30 секунд отправляет другой пакет, я хочу его принять.
-A INPUT -d <myip> -p udp --dport <myport> -m hashlimit --hashlimit-upto 1/min --hashlimit-mode srcip --hashlimit-name mmmm -j DROP
Пробовал, но не помогло.
Как уже упоминалось. Вероятно, "недавний" - ваш лучший выбор. При необходимости отрегулируйте:
iptables -N SPOOF
iptables -A SPOOF -m recent --rcheck --seconds 30 -j ACCEPT
iptables -A SPOOF -m recent --set -j DROP
iptables -A INPUT -p udp --dport <myport> -j SPOOF
Это создает новую таблицу «SPOOF» и отправляет ей соответствующие согласованные входящие пакеты UDP. Если этот хост отправил пакет в течение последних 30 секунд, он будет принят, в противном случае - отбросить.