iptables - hashlimit

Panagiotis Palias trendy at hellug.gr
Tue Dec 16 12:57:17 EET 2014 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 16/12/2014 01:12 πμ, rouvas at mm.di.uoa.gr wrote:
> Panagiotis Palias wrote:
> Γεια σας,
> προσπαθώ να βάλω έναν κανόνα στα iptables που να βάζει όριο στα icmp. Η
> 
>> Xoris na isxirizomai oti eimai eidikos sto iptables (mallon to antitheto),
>> kati tetoio den tha itan kalo;
> 
>> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW \
>>          -m recent --set
> 
>> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW \
>>          -m recent --update --seconds 60 --hitcount 4 -j DROP
> 
>> Me analogi prosarmogi bebaios...
> 
>> -Stathis

Ούτε τώρα δείχνει να τα πιάνει όλα:
Chain icmp_limit (2 references)
 pkts bytes target     prot opt in     out     source
destination
    2   168            icmp --  eth0   *       0.0.0.0/0
193.ΧΧ.ΧΧ.ΧΧ        recent: SET name: DEFAULT side: source
    0     0 REJECT     icmp --  eth0   *       0.0.0.0/0
193.Χ.Χ.Χ        recent: UPDATE seconds: 1 hit_count: 2 name: DEFAULT
side: source reject-with icmp-admin-prohibited
    2   168 ACCEPT     all  --  eth0   *       0.0.0.0/0
193.Χ.Χ.Χ

Δεν είναι μόνο 2 τα πινγκ, αλλά πολλά πινγκ από 2 διαφορετικά
μηχανήματα. Αν σταματήσω το πινγκ από ένα μηχάνημα και το ξαναξεκινήσω ο
μετρητής των πακέτων και των bytes θα ανέβουν.
Οι κανόνες είναι οι παρακάτω:
$IPTABLES -A icmp_limit -i eth0 -p icmp -d 193.Χ.Χ.Χ -m recent --set
$IPTABLES -A icmp_limit -i eth0 -p icmp -d 193.Χ.Χ.Χ -m recent --update
- --seconds 1 --hitcount 2 -j REJECT --reject-with icmp-admin-prohibited
$IPTABLES -A icmp_limit -i eth0   -d 193.Χ.Χ.Χ -j ACCEPT
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=o+6I
-----END PGP SIGNATURE-----

More information about the Linux-greek-users mailing list