obmedzenie poctu conntrack poloziek pre IP

[Michal Rybarik]

Zdravim all,

mozno ste sa uz tiez stretli s tym, ze na sieti nejaky prilis aktivny 
worm alebo virus pootvara tolko spojeni, ze sa minie pamat vyhradena pre 
conntrack tabulku, a dalsie spojenia nie je mozne nadviazat. Pocet 
zaznamov pre conntrack sa sice da zdvihnut, ale pamate tiez nie je 
nekonecne vela. Co s tym? Ked je nejaky stroj zavireny, chcel by som aby 
net nesiel jemu, ostatne stroje nech funguju normalne.

Napada mi:
- pomocou iptables -m limit obmedzit pocet SYN paketov z kazdej IP 
adresy na nejaky pocet za minutu... tazke je ale urcit kolko spojeni to 
ma byt, aby to uz chytilo virus, ale nezabranovalo v normalnej praci. 
Zaroven je ale potrebne vytvorit priavidlo v iptables pre kazdu IP 
adresu - po pripojeni noveho PC kym nie je pridane pravdlo, je hrozba 
aktualna, co sa mi nepozdava.
- pomocou iptables -m iplimit obmedzit pocet TCP spojeni zo zdrojovej IP 
adresy. tyka sa to ale len TCP spojeni, UDP je ohrozene (pretoze v 
conntracku sa mu tiez vytvaraju polozky). zatial som iplimit patch 
neskusal - neviete, ci sa da pouzit aj bez ucenia cisla portu?
- periodicky kontrolovat pocet zaznamov v conntracku pre jednotlive IP 
adresy - ked niektora IP adresa presiahne "magicku hranicu", nahodit 
DROP pravidlo, a ked poklesne, DROP zrusit. musel by vsak bezat dalsi 
daemon, a celkovo, nemam z toho celkom dobry pocit ;o)
- najlepsie by asi bolo ak by na to existoval patch, ktory by pocet 
spojeni v conntracku kontroloval, a neumoznil by otvarat viac nez N pre 
jednu IP adresu.

Poznate nieco vhodne, pripadne viete ako to spravit?

Dakujem
Michal Rybarik