Станислав, ну, ддг у ресселеров начинается от 300 рублей в месяц за 1 мбит/с средней полосы,
если у вас серьёзный проект, я бы не смотрел на ддг, а скорее на кратор, сервиспайп, штормволл, рт-солар
Получается что с connlimit и полезный трафик тоже дропать будет?
connlimit выше стоит с --syn, то есть считает только одновременно открытые SYN-коннекты,
а когда соединение перешло в ESTABLISHED - оно выходит из каунтера SYN-ов
похоже забивают conntrack
можно увеличивать в разумных пределах
оно же фильтрует до conntrack
да, -t raw PREROUTING идёт до контрека
как адаптировать эту блокировку под nftables
я бы не упирался в nft, а создал ipset, загрузил в него "зловредные" IP, а потом прописал DROP в PREROUTING в -t raw
Станислав, в качестве экстренной меры, можно nftables-geoip использовать, если известно что полезного трафика из конкретной страны мизерное количество, а вредоносного - значительное
если у вас серьёзный проект, я бы не смотрел на ддг, а скорее на кратор, сервиспайп, штормволл, рт-солар