Limitovani poctu oteviranych spojeni na port za cas pro IP adresu

Petr Simek psimek na jcu.cz
Čtvrtek Květen 13 12:27:58 CEST 2004 

On Thu, 13 May 2004, Zdenek Kaminski wrote:

> > pro urcitou skupinu IP adres bych chtel pro kazdou jednotlivou IP adresu
> > pocitat kolikrat otevira spojeni na server na urcity port (25) a pokud
> > prekroci urcity pocet za cas (50 za hodinu) tak aby byla na nejaky cas
> > (na hodinu) odriznuta od daneho portu.
> >
> > Co jsem zatim procetl dokumentaci k iptables tak si myslim ze to asi nejde,
> > ale treba nekdo vi jak na to ?
>
> myslim, ze by Vas mohly zajimat volby
>
> -m limit   (pro pocitani limitu)
> -m recent  (pro hazeni do "black_listu")

Ta volba recent vypada zajimave, ale limit jsme nenasel - nemyslite iplimit?
Co jsem se dival na iplimit, spis se hodi k omezeni poctu soucasnych
spojeni, ale ten recent vypada ze by na to mel stacit sam - volba seconds
soucasne s hitcount by to mohla byt. Vyzkousim to.

Nicmene chtel bych polozit dotaz k tomu prikladu co je v howto :

# iptables -A FORWARD -m recent --name badguy --rcheck --seconds 60 -j DROP
# iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name badguy --set -j DROP

prvni volba ma prohledat seznam badguy a kdyz tam najde zaznam zdrojove IP
ktery neni starsi 60ti sekund tak paket zahodi. Druha volba kontroluje zda
IP pristupuje kamkoliv na port 139 a pokud ano, zapise ho do badguy nebo
aktualizuje jeho zaznam.

Nemelo by to byt obracene ? Pokud uz IP bude v badguy tak prvni zaznam
zahodi ten paket a druhe pravidlo uz se asi neuplatni ne ? Takze se mu
prestanou pocitat pokusy s posilanim na p139 a po 60 sekundach bude zase
moci posilat pakety do te doby nez zkusi vlezt na p139. Nebo se prochazeji
obe pravidla i kdyz prvni vyhovi a udela DROP ? Protoze podle mne by bylo
vyhodnejsi mit ty pravidla obracene - porad kontrolovat pristup na p139
(a zahazovat) a pak teprve kontrolovat seznam badguy pro zbytek. Kdyz
neprestane posilat pakety na p139 v case pod 60sec tak ze seznamu badguy
nikdy nevypadne.

> Z.K.

*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*

Další informace o konferenci Linux