obmedzenie poctu conntrack poloziek pre IP
Michal Rybarik
michal.rybarik na ecce.sk
Pondělí Září 12 13:07:37 CEST 2005
Zdravim all,
mozno ste sa uz tiez stretli s tym, ze na sieti nejaky prilis aktivny
worm alebo virus pootvara tolko spojeni, ze sa minie pamat vyhradena pre
conntrack tabulku, a dalsie spojenia nie je mozne nadviazat. Pocet
zaznamov pre conntrack sa sice da zdvihnut, ale pamate tiez nie je
nekonecne vela. Co s tym? Ked je nejaky stroj zavireny, chcel by som aby
net nesiel jemu, ostatne stroje nech funguju normalne.
Napada mi:
- pomocou iptables -m limit obmedzit pocet SYN paketov z kazdej IP
adresy na nejaky pocet za minutu... tazke je ale urcit kolko spojeni to
ma byt, aby to uz chytilo virus, ale nezabranovalo v normalnej praci.
Zaroven je ale potrebne vytvorit priavidlo v iptables pre kazdu IP
adresu - po pripojeni noveho PC kym nie je pridane pravdlo, je hrozba
aktualna, co sa mi nepozdava.
- pomocou iptables -m iplimit obmedzit pocet TCP spojeni zo zdrojovej IP
adresy. tyka sa to ale len TCP spojeni, UDP je ohrozene (pretoze v
conntracku sa mu tiez vytvaraju polozky). zatial som iplimit patch
neskusal - neviete, ci sa da pouzit aj bez ucenia cisla portu?
- periodicky kontrolovat pocet zaznamov v conntracku pre jednotlive IP
adresy - ked niektora IP adresa presiahne "magicku hranicu", nahodit
DROP pravidlo, a ked poklesne, DROP zrusit. musel by vsak bezat dalsi
daemon, a celkovo, nemam z toho celkom dobry pocit ;o)
- najlepsie by asi bolo ak by na to existoval patch, ktory by pocet
spojeni v conntracku kontroloval, a neumoznil by otvarat viac nez N pre
jednu IP adresu.
Poznate nieco vhodne, pripadne viete ako to spravit?
Dakujem
Michal Rybarik
Další informace o konferenci Linux