在 CentOS 系统中,使用 iptables 设置连接超时时间可以通过配置 iptables 规则来实现。具体来说,你可以使用 --timeout 选项来为特定的连接设置超时时间。以下是一些常见的用法示例:
设置 TCP 连接的超时时间为 300 秒:
iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -m timeout --timeout 300s -j ACCEPT
这条规则的意思是,对于新的 TCP 连接请求(--syn),如果它在 300 秒内没有完成三次握手,则会被自动丢弃。
设置 UDP 连接的超时时间为 60 秒:
iptables -A INPUT -p udp -m conntrack --ctstate NEW -m timeout --timeout 60s -j ACCEPT
这条规则的意思是,对于新的 UDP 连接请求,如果它在 60 秒内没有收到任何数据包,则会被自动丢弃。
设置所有新连接的超时时间为 180 秒:
iptables -A INPUT -m conntrack --ctstate NEW -m timeout --timeout 180s -j ACCEPT
这条规则适用于所有新的连接请求,不论协议类型,如果在 180 秒内没有活动,则会被自动丢弃。
删除现有的超时规则:
如果你需要删除或修改现有的超时规则,可以使用 iptables -D 命令。例如,删除之前设置的 TCP 连接超时规则:
iptables -D INPUT -p tcp --syn -m conntrack --ctstate NEW -m timeout --timeout 300s -j ACCEPT
请注意,iptables 规则的顺序很重要,因为它们是按顺序匹配的。确保你的超时规则在其他相关规则之前或之后正确放置。
此外,iptables 的 timeout 模块依赖于内核的 conntrack 子系统,因此确保你的内核配置支持 conntrack 和相关的超时功能。
如果你使用的是较新的 CentOS 版本(例如 CentOS 8 或更高版本),可能需要使用 firewalld 服务来管理防火墙规则。firewalld 提供了更高级的配置选项和更好的用户体验。