iptables - hashlimit
Panagiotis Palias
trendy at hellug.gr
Tue Dec 16 01:05:35 EET 2014
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Γεια σας,
προσπαθώ να βάλω έναν κανόνα στα iptables που να βάζει όριο στα icmp. Η
hashlimit δείχνει ιδανική για αυτό μιας και φτιάχνει bucket ανάλογα το
flow.
$IPTABLES -N Cid9075X18375.0
$IPTABLES -A INPUT -i eth0 -d 193.XX.XX.XX -m hashlimit --hashlimit
10/minute --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name
icmp --hashlimit-htable-size 1000 --hashlimit-htable-max 1000
- --hashlimit-htable-expire 60000 --hashlimit-htable-gcinterval 1000 -j
Cid9075X18375.0
$IPTABLES -A Cid9075X18375.0 -p icmp -m icmp --icmp-type 8/0 -j ACCEPT
$IPTABLES -A Cid9075X18375.0 -p udp -m udp --dport 33434:33524 -j ACCEPT
Ως flow κάνω match μόνο την source ip και πιάνω echo request και
traceroute. Τα όρια είναι επίτηδες χαμηλά για να δω αν δουλεύει (που δε
δουλεύει, αλλιώς δε θα σας έγραφα :P )
Το πρόβλημα είναι ότι πιάνει μόνο το πρώτο πακέτο στο "iptables -L -vn"
και όλα τα άλλα περνάνε αέρα, χωρίς να αυξάνει ο μετρητής. Μόνο αν
σταματήσω το ping από το άλλο άκρο και το ξαναρχίσω αυξάνει ο μετρητής
και τελικά μετά από μερικές φορές πάει στον επόμενο κανόνα που είναι
$IPTABLES -N Cid65065X17461.0
$IPTABLES -A INPUT -i eth0 -d 193.ΧΧ.ΧΧ.ΧΧ -j Cid65065X17461.0
$IPTABLES -A Cid65065X17461.0 -p icmp -m icmp --icmp-type 8/0 -j
REJECT --reject-with icmp-host-prohibited
$IPTABLES -A Cid65065X17461.0 -p udp -m udp --dport 33434:33524 -j
REJECT --reject-with icmp-host-prohibited
Αν όμως στον πρώτο κανόνα αντί για ACCEPT target βάλω DROP ή REJECT και
στο δεύτερο ACCEPT δουλεύει κανονικά, δηλαδή τα πρώτα pings κόβονται και
τα επόμενα που δεν κάνουν match τον δεύτερο κανόνα περνάνε. Οι μετρητές
δε αυξάνουν κανονικά.
Μου διαφεύγει κάτι και οι μετρητές συμπεριφέρονται λες και δημιουργείται
κάποια σύνδεση;
Ευχαριστώ!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1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=UpSu
-----END PGP SIGNATURE-----
More information about the Linux-greek-users
mailing list