Limit poctu spojeni
Dalibor Straka
dast na panelnet.cz
Středa Březen 14 18:35:10 CET 2007
Ahoj,
On Wed, Mar 14, 2007 at 05:01:45PM +0100, Michal Rybarik wrote:
> >Pokud vyhodite z conntracku udp (coz jde napriklad pres patch a
> >iptables -t raw -A PREROUTING -s 1.2.3.4 -p udp -j NOTRACK)
> >Pridete o vsechny vymozenosti conntracku jako zpracovani icmp apod.
> >
> >
> Pouzitie NOTRACK by sposobolo ze by sa conttrack nevykonaval, tudiz ze
> by tieto spojenia cez NAT nefungovali... Co nie je na sieti velmi
> akceptovatelne...
>
Ano, na NATu by udp prestalo fungovat uplne. Ale jako moznost jsem
to zminit musel :)
> >Domnivam se, ze limitovani tcp spojeni vyresi vetsinu problemu
> >s mnohacetnymi spojenimi. Umyslne utoky spatne mierenym nmap-om
> >a viry sirici se pres UDP je treba resit jinak nez softwarove.
> >
> >
> Napriklad hardwarove? Alebo zmluvnym zakazom? :o) Videl som uz na
>
Umyslny utok se da resit hardwarove (klackem) kdyz dotycny pripojeny
je muj dobry kamarad. Jinak nezli softwarove je napr. uredne. Jedna
se o poskozovani ciziho majetku nebo lecktere firmy maji ve smlouve
napsano: Nebude nadmerne zatezovat sit (nevim co to znamena, ale
u soudu by asi vyhrali).
> viacerych miestach, ze sa connlimit pouziva na NAT routeri ako ochrana
> pred preplnenim conntracku, ale toto riesenie na to nie je
> dizajnovane... Tak ako je to pisane v dokumentacii, je urcene na ochranu
> TCP servera pred DoS utokom, a preto neriesi ani UDP a ICMP. Pytal som
> sa vas ci vam to staci, a to preto, lebo podla mna to nestaci a preto
> mame na to napisany daemon, ktory sleduje velkost a obsah conntracku a v
> pripade potreby nahadzuje a vyhadzuje pravidla z firewallu. A tym
> obsluzi aj UDP aj ICMP. Ale predsalen, riesit cez to cez userland je
> trochu naokolo, lepsie by tomu bolo priamo v jadre, preto som sa pytal
> na vas nazor.
>
Podle me je to spatne reseni. Neni pekne najednou uzivateli omezit
pocet spojeni. Ja castokrat experimentuji jako klient nejakeho ISP
s ruznymi protokoly a asi bych vas zabil. Takove nestandardni podminky
by mely byt ve smlouve explicitne vyjmenovane. Napriklad pokud
si zakaznik kupuje neverejnou adresu.
-- Dalibor Straka
Další informace o konferenci Linux