Ограничьте трафик UDP с iptables
Я установил предел к трафику UDP с этим правилом:
iptables -A INPUT -i eth0 -p udp -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
Теперь, время от времени, я вижу, что ntpd сервису не удается синхронизировать с удаленными серверами. Я определенно не хочу делать правило менее строгим, поскольку - ограничивают 1/с, конечно, должен быть достаточно для синхронизации ntpd.
Там некоторый дополнительный трафик идет от ntpd?
1 ответ
udp, ограничивающий используемое правило, является неопределенным, таким образом, у Вас могли бы хорошо быть проблемы с синхронизацией ntpd, если пакет сразу прибывает после других несвязанных udp пакетов, которые заставили ограничитель участвовать. Одно предложение состояло бы в том, чтобы позволить исходный порт 123 конкретно:
iptables -A INPUT -i eth0 -p udp --sport 123 -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
Другой, более безопасное предложение было бы, только позволяют пакет, если это в ответ на запрос, запущенный Вами (возможно, затем сопровождается Вашим исходным правилом):
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT