iptables - maximální počet pokusů o navázaní spojení za jednotku času

Ahoj. Chtěl bych limitovat počet pokusů o navázání tcp spojení (ne počet navázání - to by zbytečně zatěžovalo firewall) na port 22 na nějakou hodnotu za jednotku času. Pravidla mi generuje shorewall. Pravidla pro port 22 v shorewallu jsou:

SSH(ACCEPT)     net             $FW             tcp:syn -       -               -               s:c_ssh_new:1/hour:2
SSH(DROP)       net             $FW             tcp:syn

Toto by mělo povolit max. 2 pokusy o spojení za hodinu. Jenže to nefunguje i pokud tam nemám tcp:syn. Kritická sekce v iptables:

    4   240 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 flags:0x17/0x02 limit: up to 1/hour burst 2 mode srcip htable-expire 3600000 /* SSH */ 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 flags:0x17/0x02 /* SSH */

Jak je vidět, vždy je pokus o navázání spojení akceptován. V tomto případě byly pokusy 4. Proč to nefunguje a jak to spravit?

Funguje to, pokud to limituju na cílovou adresu (dstip), ale na zdrojovou to nejede, proč? Přitom i v examples pro shorewall-rules je s:ssh:3/min:5 tzn. limit na zdrojovou ip.

21.11.2011 12:09 peka
Rozbalit Rozbalit vše Re: iptables - maximální počet pokusů o navázaní spojení za jednotku času

Tak ono to funguje. Stačilo restartovat systém. Našel jsem zajímavý problém (který může souviset i s tou předchozí nefunkčností): pokud provedu shorewall restart, tak se všechno co má rate limit začne dropovat. Prohlížel jsem pravidla před a po shorewall restart a jsou totožná, takže to bude asi problém jádra.

Dotaz: iptables - maximální počet pokusů o navázaní spojení za jednotku času

Odpovědi