--hashlimit 옵션은 특정 시간 범위 내에 특정 IP 주소의 패킷 수를 제한하는 옵션입니다.
--hashlimit-upto 옵션은 1분 이내에 허용할 패킷 수를 설정합니다. 예를 들어, --hashlimit-upto 100 옵션을 사용하면 1분 이내에 100개의 패킷을 허용합니다.
--hashlimit-burst 옵션은 초과 패킷 수를 설정합니다. 예를 들어, --hashlimit-burst 100 옵션을 사용하면 1분 이내에 100개의 패킷을 허용하고, 초과 패킷 수는 DROP 정책을 적용합니다.
제한을 설정한 후, 특정 IP 주소가 제한을 초과하여 패킷을 보내면, DROP 정책이 자동으로 적용됩니다.
예를 들어, 아래와 같은 명령어를 사용하면 특정 IP 주소가 1분 이내에 100개의 패킷을 보낼 수 있도록 제한하고, 초과 패킷 수는 DROP 정책을 적용할 수 있습니다.
`iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 100 --hashlimit-burst 100 --hashlimit-name MY_LIMIT -j DROP`
이러한 설정을 통해 특정 IP 주소의 트래픽을 제한하고, 초과 패킷 수를 DROP 정책으로 처리할 수 있습니다.
2025-07-31 14:48