Limitovani poctu oteviranych spojeni na port za cas pro IP adresu
Petr Simek
psimek na jcu.cz
Úterý Květen 18 13:25:31 CEST 2004
On Thu, 13 May 2004, Zdenek Kaminski wrote:
> > Co jsem zatim procetl dokumentaci k iptables tak si myslim ze to asi nejde,
> > ale treba nekdo vi jak na to ?
>
> myslim, ze by Vas mohly zajimat volby
>
> -m limit (pro pocitani limitu)
> -m recent (pro hazeni do "black_listu")
>
> a tusim, ze oba dva jsou v RH kernelu standardne.
Tak recent standardne v RH9 neni. Zkousel jsem tedy ten limit, ale zjistil
jsem ze to nefunguje uplne podle mych predstav. Testuji radky :
iptables -A INPUT -p tcp -m tcp -s IP.IP.IP.8/31 -d 0/0 --dport 25 --syn\
-m limit --limit 2/m --limit-burst 4 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -s IP.IP.IP.8/31 -d 0/0 --dport 25 --syn\
-j DROP
Funguje to tak ze kdyz otevru vic spojeni za minutu nez 4 tak mne to blokne
dokud to neklesne pod 2 za minutu. Coz je OK ale kdyz specifikuju ne jen
jednu IP adresu ale skupinu (pro kterou ta kontrola a blokovani ma platit)
IP.IP.IP.8/31 (8 a 9) tak se to pocita pro celou skupinu, takze kdyz 8icka
udela 3 spojeni pak 9tka udela uz jen jedno a na druhem skonci.
Coz je vec kterou nechci - chtel bych aby se ten limit bral pro kazdou IP
adresu zvlast, ovsem jen pro zminenou skupinu IP (ostatni bez limitu).
Nevite zda by ty pravidla sly v tomhle smyslu upravit ?
> Z.K.
*------------------------------------------------------------------------*
| Petr Simek APS JU |
| psimek na jcu.cz |
*------------------------------------------------------------------------*
Další informace o konferenci Linux