本日は iptables の limit について少し書きたいと思います。
以前の記事でも少し書かれていますが、このモジュールを使うことで指定時間内の指定数のパケットに対して処理を行うことができます。
例えば

iptables -A INPUT -m limit --limit 1/m --limit-burst 10 -j ACCEPT
iptables -A INPUT -j DROP

のようなルールの場合は、

• 外からきたパケットを 10 個まで許可
• その後のパケットは毎分 1 個だけ許可
• 1 分間パケットがこなければ、指定時間内に許可するパケットを 1 個増やす (最大 10 個)

といった挙動になります。

この機能を使うことで、処理するパケットの数を調整できるので、総当り攻撃対策やログの調整などに便利です。
また、 limit とは別に hashlimit というモジュールもあり、こちらでは追加で発信元 IP アドレス毎のパケットに対して同様の処理を行う、といったことが可能です。

各 OS ごとに色々なファイアウォールがあるかと思いますが、セキュリティを考える際に出入り口の監視は必須ですので、どんな機能を使えるのかしっかり調べた上で最適な設定を行いたいですね。

担当: 阿部 (出て行くパケットも監視)