如何用CentOS iptables进行流量控制

在CentOS系统中，使用iptables进行流量控制主要涉及到两个模块：ip_conntrack和hashlimit

1. 首先确保iptables和ip_conntrack模块已经安装：

sudo yum install iptables-services

2. 启动并启用iptables服务：

sudo systemctl start iptables
sudo systemctl enable iptables

3. 使用iptables命令创建规则。以下是一些示例：

• 限制每个IP每分钟只能访问10个新连接：

sudo iptables -A INPUT -m conntrack --ctstate NEW -m hashlimit --hashlimit-name mylimit --hashlimit-upto 10/min --hashlimit-burst 5 -j ACCEPT

• 限制每个IP每分钟只能下载100KB的数据：

sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m hashlimit --hashlimit-name mylimit --hashlimit-upto 100kb/min --hashlimit-burst 5 -j ACCEPT

• 限制每个IP每分钟只能访问5个不同的端口：

sudo iptables -A INPUT -m conntrack --ctstate NEW -m hashlimit --hashlimit-name mylimit --hashlimit-upto 5/min --hashlimit-burst 5 -m recent --set
sudo iptables -A INPUT -m conntrack --ctstate NEW -m hashlimit --hashlimit-name mylimit --hashlimit-upto 5/min --hashlimit-burst 5 -m recent --update --seconds 60 -j DROP

4. 保存iptables规则：

sudo service iptables save

5. 重启iptables服务以应用更改：

sudo systemctl restart iptables

注意：这些示例仅用于演示目的，实际使用时需要根据您的需求进行调整。在进行任何更改之前，请确保您了解iptables规则的影响，并在生产环境中谨慎操作。