iptables 问题

UDP包的源IP是可以伪造的，限制IP是不可行的。
现在常规的防查询都是硬防直接转TCP

为什么你们那么喜欢答非所问？

iptables -I OUTPUT 1 -m hashlimit -p udp --dport 53 --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-name dnsquery --hashlimit-upto 1/min -j ACCEPT
iptables -I OUTPUT 2 -p udp --dport 53 -j DROP
这个规则的意思是，针对UDP协议且目标端口为53的数据包，每个/32(一个IP)在一分钟内仅能发出一个。
理论上一次DNS查询是发送出一个UDP数据包，实际上我也不清楚，期待有了解的人解说一下。

@extreme 上面说的伪造ip那不是规则作用不大了

@holinhot 汽车前后的车牌可以伪造呢，那交警记录车票号码意义不大了对吧？
毕业证书可以伪造呢，那企业招聘人看毕业证书意义不大了对吧？
身份证可以伪造呢，那用身份证验证身份的意义不大了对吧？你身边可以伪造的东西多着呢，意义都不大了，对吧？

@holinhot 汽车前后的车牌可以伪造呢，那交警记录车牌号码意义不大了对吧？
毕业证书可以伪造呢，那企业招聘人看毕业证书意义不大了对吧？
身份证可以伪造呢，那用身份证去验证身份的意义不大了对吧？
你身边可以伪造的东西多着呢，意义都不大了，对吧？