Portál AbcLinuxu, 12. května 2025 04:11

Dotaz: DoS a iptables

11.10.2006 19:09 Petr Valenta
DoS a iptables
Přečteno: 463×
Odpovědět | Admin
Zdravíčko, zde je ukázka konfigurace iptables: $IPTABLES -N PROTECT

$IPTABLES -A INPUT -i $PUBLIC_IF -j PROTECT

$IPTABLES -A PROTECT -p tcp --syn -j PROTECT_FROM_SYN_FLOOD

$IPTABLES -A PROTECT_FROM_SYN_FLOOD -m limit --limit 1/s -j RETURN

$IPTABLES -A PROTECT_FROM_SYN_FLOOD -m limit --limit 6/m --limit-burst 1 -j LOG --log-level debug --log-prefix "BLOCK SYN FLOOD "

$IPTABLES -A PROTECT_FROM_SYN_FLOOD -j DROP

Původně to mělo sloužit jako ochrana proti syn floodu, ale ve skutečnosti to způsobí DoS :). Stačí, abych začal skenovat porty a už se ani na ssh nepřihlásím. Nenapadá vás, jak upravit pravidla, aby bylo povoleno 1 spojení za sekundu (když opomenu defaultní limit-burst) z jedné IP a ne celkově? Díky díky

P.
Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

11.10.2006 20:24 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: DoS a iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin 
# Retezec pro stanoveni limitu prichozich SYN konexi (ochrana pred SYN floods)
# propusti pouze 4 SYN segmenty/sec
$IPTABLES -N syn-flood
$IPTABLES -F syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A syn-flood -j DROP

# Odfiltrovat pokusy o syn-flooding
$IPTABLES -A INPUT -p tcp --syn -j syn-flood
Záleží taky zda tě tam nějaké pravidla nezůstaly a nemáš tam někde dírku :-)
19.10.2006 21:24 Petr Valenta
Rozbalit Rozbalit vše Re: DoS a iptables
nikde nic nezustalo, na to jsem koukal. Nejakej dalsi napad? :)

P.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.