Limitovani poctu oteviranych spojeni na port za cas pro IP adresu
Zdenek Kaminski
sutr na valachian-labs.com
Čtvrtek Květen 13 13:41:13 CEST 2004
On Thu, 13 May 2004, Petr Simek wrote:
> > myslim, ze by Vas mohly zajimat volby
> >
> > -m limit (pro pocitani limitu)
> > -m recent (pro hazeni do "black_listu")
>
> Ta volba recent vypada zajimave, ale limit jsme nenasel - nemyslite iplimit?
> Co jsem se dival na iplimit, spis se hodi k omezeni poctu soucasnych
> spojeni, ale ten recent vypada ze by na to mel stacit sam - volba seconds
> soucasne s hitcount by to mohla byt. Vyzkousim to.
hafera$ /sbin/iptables -m limit --help
...
limit v1.2.8 options:
--limit avg max average match rate: default 3/hour
[Packets per second unless followed by
/sec /minute /hour /day postfixes]
--limit-burst number number to match in a burst, default 5
a jak psal drive Pavel, myslim to na urovni netfilteru.
> Nicmene chtel bych polozit dotaz k tomu prikladu co je v howto :
>
> # iptables -A FORWARD -m recent --name badguy --rcheck --seconds 60 -j DROP
> # iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name badguy --set -j DROP
>
> prvni volba ma prohledat seznam badguy a kdyz tam najde zaznam zdrojove IP
> ktery neni starsi 60ti sekund tak paket zahodi. Druha volba kontroluje zda
> IP pristupuje kamkoliv na port 139 a pokud ano, zapise ho do badguy nebo
> aktualizuje jeho zaznam.
>
> Nemelo by to byt obracene?
A pokud budete hazet podle vice ruzncyh pravidel ony IP adresy do toho
badguy listu za ucelem zablokovani teto adresy, vyplati se to prehodit?
Hmm? :-)
Ad odpoved, kdyz ta pravidla budete mit prave vedle sebe a v libovolnem
poradi, tak vysledek bude stejny...
Berte to tak, ze to je jen priklad pouziti.
Obecna rada: pri stavbe firewallu je obcas vhodne se zamyslet na tim,
jestli jen pouzivat INPUT, FORWARD a ostatni vestavene moznosti nebo si
definovat vlastni a tak zrychlit pruchod paketu firewallem. Ale to je
znama pisnicka...
Z.K.
--
Wallachian Laboratories? Freeride in UN*X systems...
Další informace o konferenci Linux