URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91706
[ Назад ]
Исходное сообщение
"iptables+DNAT+limit rate"
Отправлено luserz , 04-Июн-11 19:26 
Приветствую!
вроде достаточно тривиальная задача: залимитировать новые коннекты с определенного ипе (лобовая защита от доса), но все ослажняяется тем что залимитировать нужно DNAT  в прероутинге форварда)
может кто поделится примером?
сейчас трансляция лобовая:

iptables -t nat -A PREROUTING -d EXT_IP -p tcp -m tcp --dport 25 -j DNAT --to-destination INT_IP

на что ее поменять что бы залимитировало до 1 нового соединения в 30 секунд с реджектом (анричеблом) или дропом

Содержание
Сообщения в этом обсуждении
"iptables+DNAT+limit rate"
Отправлено PavelR , 04-Июн-11 19:28 
> Приветствую!
> вроде достаточно тривиальная задача: залимитировать новые коннекты с определенного ипе
> (лобовая защита от доса), но все ослажняяется тем что залимитировать нужно
> DNAT  в прероутинге форварда)
> может кто поделится примером?
> сейчас трансляция лобовая:
> iptables -t nat -A PREROUTING -d EXT_IP -p tcp -m tcp --dport
> 25 -j DNAT --to-destination INT_IP
> на что ее поменять что бы залимитировало до 1 нового соединения в
> 30 секунд с реджектом (анричеблом) или дропом

Сломал мозг пока прочитал этот полет терминов инженерной мысли.

"iptables+DNAT+limit rate"
Отправлено PavelR , 04-Июн-11 19:30 
>[оверквотинг удален]
>> вроде достаточно тривиальная задача: залимитировать новые коннекты с определенного ипе
>> (лобовая защита от доса), но все ослажняяется тем что залимитировать нужно
>> DNAT  в прероутинге форварда)
>> может кто поделится примером?
>> сейчас трансляция лобовая:
>> iptables -t nat -A PREROUTING -d EXT_IP -p tcp -m tcp --dport
>> 25 -j DNAT --to-destination INT_IP
>> на что ее поменять что бы залимитировало до 1 нового соединения в
>> 30 секунд с реджектом (анричеблом) или дропом
> Сломал мозг пока прочитал этот полет терминов инженерной мысли.

вот выдрал пример из рабочего конфига

-A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-above 2/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name dport8080 -j DROP


попробуй его в mangle.PREROUTING впихнуть, или в nat.PREROUTING ...

"iptables+DNAT+limit rate"
Отправлено luserz , 04-Июн-11 22:26 
> вот выдрал пример из рабочего конфига
> -A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK
> SYN -m hashlimit --hashlimit-above 2/sec --hashlimit-burst 10 --hashlimit-mode srcip
> --hashlimit-name dport8080 -j DROP
> попробуй его в mangle.PREROUTING впихнуть, или в nat.PREROUTING ...

ага, вроде mangle.PREROUTING помог. посмотрим.
ато ругалось что в нате нельзя дроп делать.

"iptables+DNAT+limit rate"
Отправлено luserz , 04-Июн-11 22:28 
> ага, вроде mangle.PREROUTING помог. посмотрим.
> ато ругалось что в нате нельзя дроп делать.

так, а вопрос сразу чтото возник: а оно навсегда забанило или отпустит? или настраивается как-то?
несилен я в ипетаблесах (

"iptables+DNAT+limit rate"
Отправлено PavelR , 04-Июн-11 22:58 
>> ага, вроде mangle.PREROUTING помог. посмотрим.
>> ато ругалось что в нате нельзя дроп делать.
> так, а вопрос сразу чтото возник: а оно навсегда забанило или отпустит?
> или настраивается как-то?
> несилен я в ипетаблесах (

man iptables
/hahslimit


настраивается опциями при создании правила.

"iptables+DNAT+limit rate"
Отправлено luserz , 07-Июн-11 17:14 
> man iptables
> /hahslimit
> настраивается опциями при создании правила.

да, спасибо, то что нужно!