Portál AbcLinuxu, 25. dubna 2024 04:24


Dotaz: Zabraneni DoS (firewall -> pf.conf)

22.12.2004 21:54 makak | skóre: 16
Zabraneni DoS (firewall -> pf.conf)
Přečteno: 447×
Odpovědět | Admin
Mohl by mi nekdo poradit, jaka pravidla mam pro firewall vyrobit, abych dokazal ochranit otevreny port tim zpusobem, ze omezim pocet pripojeni z nahodne IP adresy za urcitou casovou jednotku. jde mi o to ochranit apache pred necim jako je # ab -n 1000000000 -c 1000000 http://muj_server.cz/ ...
Stavim to na BSD (pf). Mam udelatko pravidla omezujici pocet vsech pripojeni a pocet simultanich pripojeni.. pass in on $ext_if proto tcp from any to any port 80 flags S/SA keep state (source-track, max-src-states 3, max-src-nodes 10000)
ale jde to nejak omezit na casove jednotky ? Bude to na hodne vytizenem webserveru. Ma nekdo napady pro muj /etc/pf.conf ? Taky bych byl rad, kdyby jste se se mnou podelili o skusenosti se zamezenim i jinych typu ataku ..

Diki vsem za prispevky
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

23.12.2004 00:11 makak | skóre: 16
Rozbalit Rozbalit vše Re: Zabraneni DoS (firewall -> pf.conf)
Odpovědět | | Sbalit | Link | Blokovat | Admin
Apache ma mod_limitip .. ale nechci to nechavat jen na tuto jednou vec. .. A ostatne porty by take bylo treba nejak osetrit.. MAte nejake napady ?
23.12.2004 00:28 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Zabraneni DoS (firewall -> pf.conf)
no vždycky můžeš udělat něco takového: 
iptables -A INPUT -p TCP --dport www -m limit --limit 5/s -j ACCEPT
Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
23.12.2004 00:31 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Zabraneni DoS (firewall -> pf.conf)
jsem slepej, přehlídnul jsem, že to je bsd, tak mě klidně ignorujte :-)
Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
23.12.2004 01:38 makak | skóre: 16
Rozbalit Rozbalit vše Re: Zabraneni DoS (firewall -> pf.conf)
Ono je to super.. !!! presne taketo nieco som mal na mysli... len to nejako prelozit do toho bsd..
23.12.2004 03:05 Michal Kubeček
Rozbalit Rozbalit vše Re: Zabraneni DoS (firewall -> pf.conf)
Aby to fungovalo, musela by tam být ještě podmínka --syn. Z praktických důvodů bych přidal i nějaký --limit-burst.
23.12.2004 03:07 makak | skóre: 16
Rozbalit Rozbalit vše Re: Zabraneni DoS (firewall -> pf.conf)
Poviem Vam pravdu, vobec neviem, ci to ma podporu v pf.. Neviete mi povedat ? Handbook na openBSD je dost strucny..
23.12.2004 10:16 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Zabraneni DoS (firewall -> pf.conf)
No ten syn je celkem zbytečný, protože tohle mívám, až za -m state --state ESTABLISHED,RELATED -j ACCEPT, takže se tam stejně dostanou jen nové pakety. S --limit-burst souhlasím, on stejně limit 5/s je hodně málo :-).
Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.