在CentOS下配置iptables防火墙,是非常必要的。来我们学习如何配置!
在Linux中设置防火墙,以CentOS为例,打开iptables的配置文件:
vi /etc/sysconfig/iptables
通过/etc/init.d/iptables status命令查询是否有打开80端口,如果没有可通过两种方式处理:
1.修改vi /etc/sysconfig/iptables命令添加使防火墙开放80端口
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
2.关闭/开启/重启防火墙
/etc/init.d/iptables stop #start 开启 #restart 重启
3.永久性关闭防火墙
chkconfig --level 35 iptables off /etc/init.d/iptables stop iptables -P INPUT DROP
4.打开主动模式21端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
5.打开被动模式49152~65534之间的端口
iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
注意:
一定要给自己留好后路,留VNC一个管理端口和SSh的管理端口
需要注意的是,你必须根据自己服务器的情况来修改这个文件。
全部修改完之后重启iptables:
service iptables restart
你可以验证一下是否规则都已经生效:
iptables -L
通过文章的介绍,我们清楚的知道了CentOS下配置iptables防火墙的过程,希望大家都能掌握它!
CentOS iptables防火墙的基本应用讲解:
iptables是Linux下不错的防火墙软件,本文主要给大家介绍下iptables的安装、规则增加和清除、开放指定端口、屏蔽指定ip和ip段等CentOS下iptables的基本应用。
一、iptables的安装
yum install iptables
如果CentOS没有默认安装iptables,则执行上述命令。如何知道系统是否有iptables呢?执行以下命令
service iptables status
如果提示 iptables:unrecognized service 则表示系统尚未安装。
二、iptables所在目录与配置文件(IP4)
安装完iptables后,配置文件默认在/etc/sysconfig/iptables
图为iptables默认的配置
三、先清除已有的规则,在SSH中执行下列命令(“#”号和“#”号后的无需填写)
iptables -F #清空所选链。这等于把所有规则一个个的删除。 iptables -X #删除指定的用户自定义链。 iptables -Z #把所有链的包及字节的计数器清空。
四、开放指定的端口
这个一般用于服务器,如允许常用的80(http端口),20、21(FTP端口),22(SSH端口),3306(MYSQL端口等)
1、编辑/etc/sysconfig/iptables文件,推荐使用WINCAP
2、把默认的规则清除并添加下列字段
# 允许已建立的或相关连的通行 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许本地回环接口 -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本机对外访问 -A OUTPUT -j ACCEPT # 允许访问SSH端口,如果端口修改了可以更改相应端口号 -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问80(HTTP)端口 -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问FTP端口:21、20 -A INPUT -p tcp --dport 21 -j ACCEPT -A INPUT -p tcp --dport 20 -j ACCEPT #允许访问161(SNMP)端口: -A INPUT -p udp --dport 161 -j ACCEPT #禁止其他未允许的规则访问 -A INPUT -j REJECT -A FORWARD -j REJECT #使用XEN、OPENVZ的VPS用户注意!!!如果在文件中加上了最后一条“禁止其他 未允许的规则访问”,则必须加上第一条“允许已建立的或相关连的通行”。如果 没加上第一条,则无法通过指定的端口号(如SSH)连接VPS。
3、保存并使用以下命令重启iptables。
service iptables restart
五、屏蔽指定IP、IP段
1、屏蔽单个IP
在/etc/sysconfig/iptables中添加以下规则,即可将IP123.45.67.89永久BAN(封)掉。
-A INPUT -s 123.45.67.89 -j DROP
添加多条单个IP也很简单,直接回车另起一行,将以上规则稍作修改即可。
2、屏蔽IP段
有时候需要屏蔽一个地区、一个国家或一个网段的IP时,我们可以通过以下方式屏蔽
#屏蔽整个段(A类地址)即从192.0.0.1到192.255.255.254,则添加以下规则。 -I INPUT -s 192.0.0.0/8 -j DROP #封IP段(B类地址)即从192.168.0.1到192.168.255.254,则添加以下规则。 -I INPUT -s 192.168.0.0/16 -j DROP #封IP段(C类地址)即从192.168.200.1到192.168.200.254,则添加以下规则。 -I INPUT -s 192.168.200.0/24 -j DROP
以上操作保存后,重启iptables即可。
六、查询已经添加了的iptables规则
iptables -L -n
在SSH中执行以上语句,其中后面的参数用法是:
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M)
n:只显示IP地址和端口号,不将ip解析为域名
七、删除已经添加了的iptables规则
我们可以通过SSH命令快速删除规则,首先执行以下命令,把iptables规则以数字序号的形式显示。
iptables -L -n --line-numbers
如果我们要删除第5条规则,则执行以下命令即可。
iptables -D INPUT 5
八、将iptables设置为开机自动启动
iptables默认开机不启动的,如有需要请设置为开机自动启动,在SSH中执行以下代码即可。
反操作请把“on”改为“off”
chkconfig iptables on
Centos中的iptables常用命令:
下面是我整理出来的iptables常用命令:
命令 -A, --append
范例 iptables -A INPUT ...
说明 新增规则到某个规则炼中,该规则将会成为规则炼中的最后一条规则。
命令 -D, --delete
范例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
说明 从某个规则炼中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。
命令 -R, --replace
范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
说明 取代现行规则,规则被取代后并不会改变顺序。
命令 -I, --insert
范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
说明 插入一条规则,原本该位置上的规则将会往后移动一个顺位。
命令 -L, --list
范例 iptables -L INPUT
说明 列出某规则炼中的所有规则。
命令 -F, --flush
范例 iptables -F INPUT
说明 删除某规则炼中的所有规则。
命令 -Z, --zero
范例 iptables -Z INPUT
说明 将封包计数器归零。封包计数器是用来计算同一封包出现次数,是过滤阻断式攻击不可或缺的工具。
命令 -N, --new-chain
范例 iptables -N allowed
说明 定义新的规则炼。
命令 -X, --delete-chain
范例 iptables -X allowed
说明 删除某个规则炼。
命令 -P, --policy
范例 iptables -P INPUT DROP
说明 定义过滤政策。 也就是未符合过滤条件之封包,预设的处理方式。
命令 -E, --rename-chain
范例 iptables -E allowed disallowed
说明 修改某自订规则炼的名称。
常用封包比对参数:
参数 -p, --protocol
范例 iptables -A INPUT -p tcp
说明 比对通讯协议类型是否相符,可以使用 ! 运算子进行反向比对,例如:-p ! tcp ,意思是指除 tcp 以外的其它类型,包含 udp、icmp ...等。如果要比对所有类型,则可以使用 all 关键词,例如:-p all。
参数 -s, --src, --source
范例 iptables -A INPUT -s 192.168.1.1
说明 用来比对封包的来源 IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,例如:-s 192.168.0.0/24,比对 IP 时也可以使用 ! 运算子进行反向比对,例如:-s ! 192.168.0.0/24。
参数 -d, --dst, --destination
范例 iptables -A INPUT -d 192.168.1.1
说明 用来比对封包的目的地 IP,设定方式同上。
参数 -i, --in-interface
范例 iptables -A INPUT -i eth0
说明 用来比对封包是从哪片网卡进入,可以使用通配字符 + 来做大范围比对,例如:-i eth+ 表示所有的 ethernet 网卡,也可以使用 ! 运算子进行反向比对,例如:-i ! eth0。
参数 -o, --out-interface
范例 iptables -A FORWARD -o eth0
说明 用来比对封包要从哪片网卡送出,设定方式同上。
参数 --sport, --source-port
范例 iptables -A INPUT -p tcp --sport 22
说明 用来比对封包的来源埠号,可以比对单一埠,或是一个范围,例如:--sport 22:80,表示从 22 到 80
埠之间都算是符合条件,如果要比对不连续的多个埠,则必须使用 --multiport 参数,详见后文。比对埠号时,可以使用 !
运算子进行反向比对。
参数 --dport, --destination-port
范例 iptables -A INPUT -p tcp --dport 22
说明 用来比对封包的目的地埠号,设定方式同上。
参数 --tcp-flags
范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
说明 比对 TCP
封包的状态旗号,参数分为两个部分,第一个部分列举出想比对的旗号,第二部分则列举前述旗号中哪些有被设定,未被列举的旗号必须是空的。TCP
状态旗号包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)、PSH(强迫推送)
等均可使用于参数中,除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时,可以使用 ! 运算子进行反向比对。
参数 --syn
范例 iptables -p tcp --syn
说明 用来比对是否为要求联机之 TCP 封包,与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 ! 运算子,可用来比对非要求联机封包。
参数 -m multiport --source-port
范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
说明 用来比对不连续的多个来源埠号,一次最多可以比对 15 个埠,可以使用 ! 运算子进行反向比对。
参数 -m multiport --destination-port
范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
说明 用来比对不连续的多个目的地埠号,设定方式同上。
参数 -m multiport --port
范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
说明 这个参数比较特殊,用来比对来源埠号和目的埠号相同的封包,设定方式同上。注意:在本范例中,如果来源端口号为 80 但目的地埠号为 110,这种封包并不算符合条件。
参数 --icmp-type
范例 iptables -A INPUT -p icmp --icmp-type 8
说明 用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。请打 iptables -p icmp --help 来查看有哪些代码可以用。
参数 -m limit --limit
范例 iptables -A INPUT -m limit --limit 3/hour
说明 用来比对某段时间内封包的平均流量,上面的例子是用来比对:每小时平均流量是否超过一次 3 个封包。
除了每小时平均一次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、 /minute、/day。
除了进行封包数量的比对外,设定这个参数也会在条件达成时,暂停封包的比对动作,以避免因骇客使用洪水攻击法,导致服务被阻断。
参数 --limit-burst
范例 iptables -A INPUT -m limit --limit-burst 5
说明 用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超过 5 个(这是默认值),超过此上限的封包将被直接丢弃。使用效果同上。
参数 -m mac --mac-source
范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
说明 用来比对封包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting
规则炼上,这是因为封包要送出到网卡后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以 iptables
在进行封包比对时,并不知道封包会送到哪个网络接口去。
Centos 禁止IP、封IP、解除封IP的方法:
最近服务器内存资源严重暂用,查看日志后原来被暴力破解VPN密码;暂时用了封IP网段的方法来禁止。方法见下面,
现在公布一下暴力破解VPN的IP:118.249.110.115 湖南省长沙的。我的密码这么多符号你这么只用数字和字母呢。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | Mar 11 14:53:52 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接 Mar 11 14:53:57 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm123456]验证失败 Mar 11 14:53:57 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出. Mar 11 14:54:06 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接 Mar 11 14:54:09 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2009]验证失败 Mar 11 14:54:09 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出. Mar 11 14:54:24 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接 Mar 11 14:54:29 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2010]验证失败 Mar 11 14:54:29 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出. Mar 11 14:54:44 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接 Mar 11 14:54:49 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2011]验证失败 Mar 11 14:54:50 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出. Mar 11 14:55:20 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接 Mar 11 14:55:25 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2012]验证失败 Mar 11 14:55:25 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出. Mar 11 14:56:08 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接 Mar 11 14:56:12 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2013]验证失败 Mar 11 14:56:12 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出. Mar 11 14:56:36 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接 Mar 11 14:56:41 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2014]验证失败 Mar 11 14:56:42 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出. Mar 11 14:57:04 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接 Mar 11 14:57:08 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm666]验证失败 Mar 11 14:57:08 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出. Mar 11 14:57:24 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接 Mar 11 14:57:28 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm888]验证失败 |
方法如下:
在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。
在Linux下封停IP,有封杀网段和封杀单个IP两种形式。一般来说,现在的攻击者不会使用一个网段的IP来攻击(太招摇了),IP一般都是散列的。于是下面就详细说明一下封杀单个IP的命令,和解封单个IP的命令。
在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。
要封停一个IP,使用下面这条命令:
1 | #iptables -I INPUT -s ***.***.***.*** -j DROP |
要解封一个IP,使用下面这条命令:
1 | #iptables -D INPUT -s ***.***.***.*** -j DROP |
参数-I是表示Insert(添加),-D表示Delete(删除)。后面跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放弃连接。
此外,还可以使用下面的命令来查看当前的IP规则表:
1 2 3 4 | #iptables –list</code> 比如现在要将118.249.110.115这个IP封杀,就输入: 1#iptables -I INPUT -s 118.249.110.115 -j DROP |
要解封则将-I换成-D即可,前提是iptables已经有这条记录。如果要想清空封掉的IP地址,可以输入:
要添加IP段到封停列表中,使用下面的命令:
#iptables -I INPUT -s 121.0.0.0/8 -j DROP
其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关于IP段表达式网上有很多详细解说的,这里就不提了。
相信有了iptables的帮助,解决小的DDoS之类的攻击也不在话下!
在加上这条命令禁ping,和修改下端口,禁用root用户等方法
一、系统禁止ping
1 | [root@linu*** ~]# echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all |
二、系统允许ping
1 | [root@linu*** ~]# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all |
此上两条命令的效果实时生效,可以用另外的机器ping来测试是否生效。
----------------------------------------------------------------------------------------------------------
1 2 | /etc/rc.d/rc.local中增加一行 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all |
0表示允许
1表示禁止
centos服务器里禁止ping和iptables正确的配置方法:
一:centos iptables的正确设置方法和禁止PING
1.清除已有iptables规则
iptables -F iptables -X iptables -Z
2.iptables的配置,这里张小三资源网采用centos官方给出的默认的防火墙规则,我们只需要添加或删除不用的端口就可以了,这样才能最大化的兼容各种环境,降低防火墙不兼容造成的负载等问题。
首先运行命令:vi /etc/sysconfig/iptables添加如下内容。
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
#准许本机localhost访问
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
#是否禁止ping,禁止的话可以在下面这句的开头加#号。
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
#允许已建立的或相关连的通行
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#开放s.s.h的22端口(开放其它端口可以按照下面规则自己添加)
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
#开放80端口
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
#开放ftp的21端口
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
#除放开的端口外禁止其它端口
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
3.最后保存一下
service iptables save
#防止iptables机器重启失效,重启iptables自动生效,运行如下命令 chkconfig --level 345 iptables on service iptables restart
二:iptables应用
1.查看已添加的iptables规则:
iptables -L
2.删除已添加的iptables规则:
将所有iptables规则按照1.2.3....进行排序,执行: iptables -L -n --line-numbers 如果要删除INPUT里序号为5的规则,执行: iptables -D INPUT 5
3.利用iptables屏蔽指定的IP:
#屏蔽单个IP的命令是 iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
CentOS设置iptables仅22、80端口可访问:
iptables设置仅22、80端口可访问
通过命令 netstat -tnl 可以查看当前服务器打开了哪些端口
Ssh代码
查看防火墙设置
Ssh代码
开放22、80端口
Ssh代码
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
取消其他端口的访问规则
Ssh代码
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
允许本地回环接口(即允许本机访问本机)
Ssh代码
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
允许已建立的或相关连的通行(如数据库链接)
Ssh代码
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许所有本机向外的访问
Ssh代码
iptables -A OUTPUT -j ACCEPT
保存配置:
Ssh代码
配置规则
#如果没有此规则,你将不能通过127.0.0.1访问本地服务,例如ping 127.0.0.1 iptables -A INPUT -i lo -j ACCEPT
#开启ssh端口22
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开启FTP端口21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#开启web服务端口80
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#tomcat
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
#mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
#允许icmp包通过,也就是允许ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#允许所有对外请求的返回包
#本机对外请求相当于OUTPUT,对于返回数据包必须接收啊,这相当于INPUT了
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
#如果要添加内网ip信任(接受其所有TCP请求)
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
#每秒中最多允许5个新连接
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
#每秒中最多允许5个新连接
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Ping洪水攻击
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#封单个IP的命令是:
iptables -I INPUT -s 222.34.135.106 -j DROP
#封IP段的命令是:
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP
#封整个段的命令是:
iptables -I INPUT -s 211.0.0.0/8 -j DROP
#封几个段的命令是:
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
#过滤所有非以上规则的请求
iptables -P INPUT DROP
service iptables save
service iptables restart
CentOS防火墙iptables限制同一IP连接数:
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
限制单个地址并发连接数不大于10
