VyOSでDoS対策をする

はじめに

VyOSをFirewallとして使っている人向けのシンプルなDoS対策を紹介

特定IPからのアクセスをdrop(拒否)する

以下のコマンドは123.45.1.10からの接続の全てを拒否する。

直近2秒間で100アクセスあったらdropする

ALBとかにはない機能。以下のコマンドは
http(80番)へ直近2秒間で100アクセスあったら止める。

ただし、攻撃者がブラウザを閉じ、別のブラウザから攻撃して来た場合は、drop対象からはずれ、また100アクセスを超えたらブロック対象になる。