Limit poctu spojeni

Dalibor Straka dast na panelnet.cz
Úterý Březen 13 12:17:21 CET 2007


Ahoj,

On Tue, Mar 13, 2007 at 12:54:48AM +0100, Michal Rybarik wrote:
> Zdravim,
> > man 8 iptables:
> > connlimit
> >        Allows  you  to  restrict  the  number of parallel TCP
> > 	   connections to a server per client IP address (or address block).
> > iptables -A INPUT -p tcp --syn --dport 23 -m connlimit \
> >          --connlimit-above 2 -j REJECT
> >
> > Pokud nemate z nejakeho duvodu nejnovejsi kernel, hledejte obdobne
> > patche (limit connections per IP):
> > http://lists.netfilter.org/pipermail/netfilter-devel/2000-November/000190.html
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> > iptables -A INPUT -p tcp --syn -m iplimit --iplimit 8 -j DROP
> >
> >   
> V popise k tejto funkcii sa pise, ze je to na ochranu serveru pred DoS 
> utokmi od klientov, otvorenim obrovskeho poctu spojeni od jedneho 
> klienta, cim serveru vyzerie zdroje... Napokon to vyplyva aj z tohto 
> prikladu, kedze sa to filtruje na INPUTe a pre konkretny port (23).. 
>
A nebudete to chtit priste jeste prelozit z anglictiny do cestiny?

> Naviac je to ked dobre rozumiem viazane na TCP, ked som hladal docs, 
> neprisiel som na to ze by sa tym dali filtrovat aj UDP alebo ICMP 
> spojenia, ktorymi sa ale conntrack routra da vyzrat zachvilu, jednym 
> dobre mierenym nmap-om... Myslite ze to je dostacujuce?
> 
Pokud vyhodite z conntracku udp (coz jde napriklad pres patch a 
iptables -t raw -A PREROUTING -s 1.2.3.4 -p udp -j NOTRACK)
Pridete o vsechny vymozenosti conntracku jako zpracovani icmp apod.

Domnivam se, ze limitovani tcp spojeni vyresi vetsinu problemu
s mnohacetnymi spojenimi. Umyslne utoky spatne mierenym nmap-om
a viry sirici se pres UDP je treba resit jinak nez softwarove.

-- Dalibor Straka



Další informace o konferenci Linux