使用 firewalld 实现简单的防止 DDoS 攻击，可以通过限制每秒的连接数来完成。以下是一些常见的方法：

1. 使用 rich rules 限制连接速率

添加限制 SSH 连接速率的规则

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" service name="ssh" limit value="10/m" accept'

此规则限制每分钟最多允许10次SSH连接尝试，超过此限制的连接将被拒绝。

添加限制 HTTP/HTTPS 连接速率的规则

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" service name="http" limit value="50/s" accept'
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" service name="https" limit value="50/s" accept'

此规则限制每秒最多允许50次HTTP/HTTPS连接尝试。

2. 使用 direct rules 添加复杂的限制

对于更复杂的规则，可以直接使用 iptables 添加规则，然后将其持久化到 firewalld。

添加限制 SYN 包速率的规则

sudo firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --syn -j DROP

这两条规则将限制每秒最多允许1个SYN包，并且在短时间内最多允许3个SYN包的突发流量，超过此限制的SYN包将被丢弃。

添加限制每个IP地址的连接速率

sudo firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -m conntrack --ctstate NEW -m recent --set
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

这两条规则将限制每个IP地址在60秒内最多允许10次新连接尝试，超过此限制的连接将被丢弃。

3. 重载防火墙配置

所有规则添加完成后，需要重载 firewalld 配置使其生效：

sudo firewall-cmd --reload

4. 验证配置

检查所有配置是否正确加载：

sudo firewall-cmd --list-all
sudo firewall-cmd --direct --get-all-rules

5. 日志记录和监控

为了更好地监控和调整防御策略，可以启用日志记录来记录被丢弃或拒绝的连接尝试：

sudo firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 2 -m limit --limit 5/min -j LOG --log-prefix "DDoS Attack: "

这条规则会每分钟最多记录5次被丢弃的连接尝试，并在日志中添加前缀 "DDoS Attack: "。