Limit poctu spojeni
Dalibor Straka
dast na panelnet.cz
Úterý Březen 13 12:17:21 CET 2007
Ahoj,
On Tue, Mar 13, 2007 at 12:54:48AM +0100, Michal Rybarik wrote:
> Zdravim,
> > man 8 iptables:
> > connlimit
> > Allows you to restrict the number of parallel TCP
> > connections to a server per client IP address (or address block).
> > iptables -A INPUT -p tcp --syn --dport 23 -m connlimit \
> > --connlimit-above 2 -j REJECT
> >
> > Pokud nemate z nejakeho duvodu nejnovejsi kernel, hledejte obdobne
> > patche (limit connections per IP):
> > http://lists.netfilter.org/pipermail/netfilter-devel/2000-November/000190.html
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> > iptables -A INPUT -p tcp --syn -m iplimit --iplimit 8 -j DROP
> >
> >
> V popise k tejto funkcii sa pise, ze je to na ochranu serveru pred DoS
> utokmi od klientov, otvorenim obrovskeho poctu spojeni od jedneho
> klienta, cim serveru vyzerie zdroje... Napokon to vyplyva aj z tohto
> prikladu, kedze sa to filtruje na INPUTe a pre konkretny port (23)..
>
A nebudete to chtit priste jeste prelozit z anglictiny do cestiny?
> Naviac je to ked dobre rozumiem viazane na TCP, ked som hladal docs,
> neprisiel som na to ze by sa tym dali filtrovat aj UDP alebo ICMP
> spojenia, ktorymi sa ale conntrack routra da vyzrat zachvilu, jednym
> dobre mierenym nmap-om... Myslite ze to je dostacujuce?
>
Pokud vyhodite z conntracku udp (coz jde napriklad pres patch a
iptables -t raw -A PREROUTING -s 1.2.3.4 -p udp -j NOTRACK)
Pridete o vsechny vymozenosti conntracku jako zpracovani icmp apod.
Domnivam se, ze limitovani tcp spojeni vyresi vetsinu problemu
s mnohacetnymi spojenimi. Umyslne utoky spatne mierenym nmap-om
a viry sirici se pres UDP je treba resit jinak nez softwarove.
-- Dalibor Straka
Další informace o konferenci Linux