Iptables limit blokkeert alles - Linux en overige clients

zondag 31 augustus 2008 04:41

Acties:

Topicstarter

Een tijdje wordt 1 van de CENTOS 4 servers aangevallen door een aantal IP adressen.

Ik wil dit tegengaan door IPTables in te stellen dat deze maar 500 connecties per minuut max accepteerd en de rest dropped.

Met wat hulp van google heb ik dit eruit gekregen:

-A INPUT -p tcp -m tcp -m limit -m state -i eth0 --dport 80 ! --limit 600/minute --state NEW -j DROP

Maar als ik dit invoer wordt alles direct geblokkeerd, ik heb een aantal andere regels geprobeerd maar volgens mij moet deze goed zijn.

Als ik met webmin dezelfde rule aanmaak krijg ik ook dit resultaat.

Is iets dat ik over het hoofd zie?

zondag 31 augustus 2008 04:49

Acties:

Verwijderd

heb je wel de juiste modules om tijd en connecties te kunnen tracken geladen?

kijk eens in de man pages welke iptable modules je nodig hebt.

zondag 31 augustus 2008 04:58

Acties:

Megamind

Topicstarter

Ik heb als het goed is de connrate module gebruikt:

connrate
This module matches the current transfer rate in a connection.

--connrate [!] [from]:[to]
Match against the current connection transfer rate being within âfromâ and âtoâ
bytes per second. When the "!" argument is used before the range, the sense of the
match is inverted.

Daarom ook de ! in die rule. Zonder de ! doet hij het trouwens ook, maar dan gebruikt hij niet de module zo te zien.

Hm ik wat voorbeelden van internet geprobeerd, en per ongeluk 2x een regel door elkaar geplakt in putty die direct uitvoerde, resultaat: alles en iedereen wordt nu gedropped van de server

Dat wordt een paar dagen wachten voordat iemand er langs kan...

[ Voor 19% gewijzigd door Megamind op 31-08-2008 05:36 ]

zondag 31 augustus 2008 10:19

Acties:

Confusion

Fallen from grace

Dit example in de iptables man page:

code:

 # allow 2 telnet connections per client host
              iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

       # you can also match the other way around:
              iptables -A INPUT -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT

doet me denken dat je alle verbindingen die niet boven de 600 packets per minute komen wilt ACCEPTen, in plaats van DROPpen.

Ik vraag me alleen sterk af of je --state NEW wel kan combineren met een limit. Je krijgt immers niet meerdere packets die de verbinding proberen op te zetten. Zou --state ESTABLISHED niet beter werken?
Klopt natuurlijk alleen als je op gemaakte verbindingen gespammed wordt...

[ Voor 22% gewijzigd door Confusion op 31-08-2008 13:39 ]

Wie trösten wir uns, die Mörder aller Mörder?

zondag 31 augustus 2008 11:23

Acties:

daft_dutch

>.< >.< >.< >.<

portsentry

>.< >.< >.< >.<