iptables - hashlimit

rouvas at mm.di.uoa.gr rouvas at mm.di.uoa.gr
Tue Dec 16 02:12:04 EET 2014


Panagiotis Palias wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Γεια σας,
> προσπαθώ να βάλω έναν κανόνα στα iptables που να βάζει όριο στα icmp. Η

Xoris na isxirizomai oti eimai eidikos sto iptables (mallon to antitheto),
kati tetoio den tha itan kalo;

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW \
         -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW \
         -m recent --update --seconds 60 --hitcount 4 -j DROP

Me analogi prosarmogi bebaios...

-Stathis

> hashlimit δείχνει ιδανική για αυτό μιας και φτιάχνει bucket ανάλογα το
> flow.
>
> $IPTABLES -N Cid9075X18375.0
> $IPTABLES -A INPUT -i eth0   -d 193.XX.XX.XX   -m hashlimit --hashlimit
> 10/minute --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name
> icmp --hashlimit-htable-size 1000 --hashlimit-htable-max 1000
> - --hashlimit-htable-expire 60000 --hashlimit-htable-gcinterval 1000 -j
> Cid9075X18375.0
> $IPTABLES -A Cid9075X18375.0 -p icmp  -m icmp  --icmp-type 8/0   -j ACCEPT
> $IPTABLES -A Cid9075X18375.0 -p udp -m udp  --dport 33434:33524  -j ACCEPT
>
> Ως flow κάνω match μόνο την source ip και πιάνω echo request και
> traceroute. Τα όρια είναι επίτηδες χαμηλά για να δω αν δουλεύει (που δε
> δουλεύει, αλλιώς δε θα σας έγραφα :P )
>
> Το πρόβλημα είναι ότι πιάνει μόνο το πρώτο πακέτο στο "iptables -L -vn"
> και όλα τα άλλα περνάνε αέρα, χωρίς να αυξάνει ο μετρητής. Μόνο αν
> σταματήσω το ping από το άλλο άκρο και το ξαναρχίσω αυξάνει ο μετρητής
> και τελικά μετά από μερικές φορές πάει στον επόμενο κανόνα που είναι
>
> $IPTABLES -N Cid65065X17461.0
> $IPTABLES -A INPUT -i eth0   -d 193.ΧΧ.ΧΧ.ΧΧ   -j Cid65065X17461.0
> $IPTABLES -A Cid65065X17461.0 -p icmp  -m icmp  --icmp-type 8/0   -j
> REJECT  --reject-with icmp-host-prohibited
> $IPTABLES -A Cid65065X17461.0 -p udp -m udp  --dport 33434:33524  -j
> REJECT  --reject-with icmp-host-prohibited
>
> Αν όμως στον πρώτο κανόνα αντί για ACCEPT target βάλω DROP ή REJECT και
> στο δεύτερο ACCEPT δουλεύει κανονικά, δηλαδή τα πρώτα pings κόβονται και
> τα επόμενα που δεν κάνουν match τον δεύτερο κανόνα περνάνε. Οι μετρητές
> δε αυξάνουν κανονικά.
> Μου διαφεύγει κάτι και οι μετρητές συμπεριφέρονται λες και δημιουργείται
> κάποια σύνδεση;
> Ευχαριστώ!
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1
>
> iQIcBAEBAgAGBQJUj2k4AAoJEIz+1yWfyFJts+UP/2BQ9bqm9o025rloxyhstbEG
> 0dgFEw+IHrMo9eWkvMVL9fV6ecbvF4O3Oh4nraW1jfiYyqaa53rGNE8HZn8r74pz
> M4qAakBXCmpDxxKw6N1dGkc4GAzgSr2HxB1MpL5kolN2w9yCBy/d+SHlcnNn39L/
> AWb6Xq6gRNQb2uFJ+pbML/ox/EswuHUVHLypHqmDnrC3NvbqXUnQxJ1m0YodnNMc
> DjHfd0aRCC/QgkWlMbuDe9uglkOVfYJx0i5ZB2ZcXO9Y2fNUClaO6w5/FfwmW22j
> PxSL/wFKKI0Zs5eY6DKWtjOd4JqCqxllnKWn5qziUfmMJI3lVH5L0C616u5Xwp4W
> l500rQzCnpvzBvh5d7znJ5KZqDgHkhoUeJNSVl0tUSiY+8yEXrvrnye2U3r4QLrq
> sCon2Wp9viFqsUtehSjGfRLDRFZlm7QOL+jPPHTXW2cMQtn6a2jQnew1pUYzaBdD
> sP0jI7vYwalcQZ3cTo4tM4M0id+vOxlxmUkHYpnm4eUMrsdJrz6Fo8d93PRZxFug
> ZeuNRGXdbI5SXtex7XT44ByD16JKKGymnQaV7+xDaLNt7JNBjAa1n0nb7n68JLu1
> k3j4FpPtKDlgYTYiacdkUqYm+5mTlMvBOisn+zpbTbPs58lUVC50LZN/PbcZwwTh
> Tszew07r3oXMXCMI2WS7
> =UpSu
> -----END PGP SIGNATURE-----
>
> --
> linux-greek-users mailing list -- http://lists.hellug.gr




More information about the Linux-greek-users mailing list