はじめに
VyOSをFirewallとして使っている人向けのシンプルなDoS対策を紹介
特定IPからのアクセスをdrop(拒否)する
以下のコマンドは123.45.1.10からの接続の全てを拒否する。
set firewall name FW-eth0 rule 100 action 'drop' set firewall name FW-eth0 rule 100 source address ‘123.45.1.10’
直近2秒間で100アクセスあったらdropする
ALBとかにはない機能。以下のコマンドは
http(80番)へ直近2秒間で100アクセスあったら止める。
set firewall name FW-eth0 rule 51 action 'drop' set firewall name FW-eth0 rule 51 destination port '80' set firewall name FW-eth0 rule 51 protocol 'tcp' set firewall name FW-eth0 rule 51 recent count '100' set firewall name FW-eth0 rule 51 recent time '2'
ただし、攻撃者がブラウザを閉じ、別のブラウザから攻撃して来た場合は、drop対象からはずれ、また100アクセスを超えたらブロック対象になる。