Ты хоть гуглил? У iptables есть правила для ограничения одновременных коннектов с одного адреса\подсети\на порт\подставь свое.

Смысл в отсутствии ответа на запрос. Простое ограничение выдаёт ошибку, а задача в том, чтобы не выдавало вообще ничего. То есть чтобы запрос не получал отказ а пропадал безответно.

И всё таки имеет смысл сначала немного погуглить.

Используй fail2ban, стандартные настройки немного подкрути, там всё понятно.

Я гуглил, просто материала по этой теме дохера... надеялся, что хоть ориентиры какие-то дадут...

Что-то мне это напоминает....

... ах да, вот оно. www.linux.org.ru/jump-message.jsp?msgid=10235314

И к чему это? Флуд чтоли? Тогда идите в толксы. Вайн? Отлично! Идите в толксы! Или вы просто грубить пытаетесь? Тогда идите нах.

нажми

man iptables-extensions

/recent

У меня первые 2 ссылки по словам iptables ddos дают нужные инструкции.

Он и не получит ничего, -j DROP сделай пакету и всё.

fail2ban - это очень медленно. IMHO лучше всего иметь поддержку такого бана в самом веб-сервере.

Я некоторое время назад приделывал к nginx поддержку ipset

limit_req zone=one burst=5 ipset=block10m nodelay;

Проблема только в одном - для работы libipset нужен CAP_NET_ADMIN :(

TARPIT

https://www.google.com.ua/#q=iptables+tarpit

Вот оно! Спасибо, добрый человек =)

На практике не использовал, расскажите как оно.

От DDoS отбивался на FreeBSD, там в PF есть интересная фича probability 98%, она имитирует потери в канале. Весьма занимательная штука, «держит» TCP сессию атакующего и не дает закрыть соединение.

Но TARPIT по идее должен быть поинтереснее.