Limitovani poctu oteviranych spojeni na port za cas pro IP adresu

[Petr Simek]

On Thu, 13 May 2004, Zdenek Kaminski wrote:

> > Co jsem zatim procetl dokumentaci k iptables tak si myslim ze to asi nejde,
> > ale treba nekdo vi jak na to ?
>
> myslim, ze by Vas mohly zajimat volby
>
> -m limit   (pro pocitani limitu)
> -m recent  (pro hazeni do "black_listu")
>
> a tusim, ze oba dva jsou v RH kernelu standardne.

Tak recent standardne v RH9 neni. Zkousel jsem tedy ten limit, ale zjistil
jsem ze to nefunguje uplne podle mych predstav. Testuji radky :

iptables -A INPUT -p tcp -m tcp -s IP.IP.IP.8/31 -d 0/0 --dport 25 --syn\
 -m limit --limit 2/m --limit-burst 4 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -s IP.IP.IP.8/31 -d 0/0 --dport 25 --syn\
 -j DROP

Funguje to tak ze kdyz otevru vic spojeni za minutu nez 4 tak mne to blokne
dokud to neklesne pod 2 za minutu. Coz je OK ale kdyz specifikuju ne jen
jednu IP adresu ale skupinu (pro kterou ta kontrola a blokovani ma platit)
IP.IP.IP.8/31 (8 a 9) tak se to pocita pro celou skupinu, takze kdyz 8icka
udela 3 spojeni pak 9tka udela uz jen jedno a na druhem skonci.

Coz je vec kterou nechci - chtel bych aby se ten limit bral pro kazdou IP
adresu zvlast, ovsem jen pro zminenou skupinu IP (ostatni bez limitu).

Nevite zda by ty pravidla sly v tomhle smyslu upravit ?

> Z.K.

*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*