forum.opennet.ru - "iptables+DNAT+limit rate" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables+DNAT+limit rate"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables+DNAT+limit rate"	+/–
Сообщение от luserz on 04-Июн-11, 19:26
Приветствую! вроде достаточно тривиальная задача: залимитировать новые коннекты с определенного ипе (лобовая защита от доса), но все ослажняяется тем что залимитировать нужно DNAT в прероутинге форварда) может кто поделится примером? сейчас трансляция лобовая: iptables -t nat -A PREROUTING -d EXT_IP -p tcp -m tcp --dport 25 -j DNAT --to-destination INT_IP на что ее поменять что бы залимитировало до 1 нового соединения в 30 секунд с реджектом (анричеблом) или дропом
Ответить \| Правка \| Cообщить модератору

Оглавление

iptables+DNAT+limit rate, PavelR, 19:28 , 04-Июн-11, (1)

iptables+DNAT+limit rate, PavelR, 19:30 , 04-Июн-11, (2)

iptables+DNAT+limit rate, luserz, 22:26 , 04-Июн-11, (3)

iptables+DNAT+limit rate, luserz, 22:28 , 04-Июн-11, (4)

iptables+DNAT+limit rate, PavelR, 22:58 , 04-Июн-11, (5)

iptables+DNAT+limit rate, luserz, 17:14 , 07-Июн-11, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables+DNAT+limit rate" +/–

Сообщение от PavelR (??) on 04-Июн-11, 19:28

> Приветствую!
> вроде достаточно тривиальная задача: залимитировать новые коннекты с определенного ипе
> (лобовая защита от доса), но все ослажняяется тем что залимитировать нужно
> DNAT в прероутинге форварда)
> может кто поделится примером?
> сейчас трансляция лобовая:
> iptables -t nat -A PREROUTING -d EXT_IP -p tcp -m tcp --dport
> 25 -j DNAT --to-destination INT_IP
> на что ее поменять что бы залимитировало до 1 нового соединения в
> 30 секунд с реджектом (анричеблом) или дропом
Сломал мозг пока прочитал этот полет терминов инженерной мысли.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables+DNAT+limit rate" +/–

Сообщение от PavelR (??) on 04-Июн-11, 19:30

>[оверквотинг удален]
>> вроде достаточно тривиальная задача: залимитировать новые коннекты с определенного ипе
>> (лобовая защита от доса), но все ослажняяется тем что залимитировать нужно
>> DNAT в прероутинге форварда)
>> может кто поделится примером?
>> сейчас трансляция лобовая:
>> iptables -t nat -A PREROUTING -d EXT_IP -p tcp -m tcp --dport
>> 25 -j DNAT --to-destination INT_IP
>> на что ее поменять что бы залимитировало до 1 нового соединения в
>> 30 секунд с реджектом (анричеблом) или дропом
> Сломал мозг пока прочитал этот полет терминов инженерной мысли.
вот выдрал пример из рабочего конфига
-A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-above 2/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name dport8080 -j DROP

попробуй его в mangle.PREROUTING впихнуть, или в nat.PREROUTING ...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables+DNAT+limit rate" +/–

Сообщение от luserz on 04-Июн-11, 22:26

> вот выдрал пример из рабочего конфига
> -A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK
> SYN -m hashlimit --hashlimit-above 2/sec --hashlimit-burst 10 --hashlimit-mode srcip
> --hashlimit-name dport8080 -j DROP
> попробуй его в mangle.PREROUTING впихнуть, или в nat.PREROUTING ...
ага, вроде mangle.PREROUTING помог. посмотрим.
ато ругалось что в нате нельзя дроп делать.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "iptables+DNAT+limit rate" +/–

Сообщение от luserz on 04-Июн-11, 22:28

> ага, вроде mangle.PREROUTING помог. посмотрим.
> ато ругалось что в нате нельзя дроп делать.
так, а вопрос сразу чтото возник: а оно навсегда забанило или отпустит? или настраивается как-то?
несилен я в ипетаблесах (

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "iptables+DNAT+limit rate" +/–

Сообщение от PavelR (??) on 04-Июн-11, 22:58

>> ага, вроде mangle.PREROUTING помог. посмотрим.
>> ато ругалось что в нате нельзя дроп делать.
> так, а вопрос сразу чтото возник: а оно навсегда забанило или отпустит?
> или настраивается как-то?
> несилен я в ипетаблесах (
man iptables
/hahslimit

настраивается опциями при создании правила.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "iptables+DNAT+limit rate" +/–

Сообщение от luserz on 07-Июн-11, 17:14

> man iptables
> /hahslimit
> настраивается опциями при создании правила.
да, спасибо, то что нужно!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables+DNAT+limit rate"	+/–
Сообщение от PavelR (??) on 04-Июн-11, 19:28
> Приветствую! > вроде достаточно тривиальная задача: залимитировать новые коннекты с определенного ипе > (лобовая защита от доса), но все ослажняяется тем что залимитировать нужно > DNAT в прероутинге форварда) > может кто поделится примером? > сейчас трансляция лобовая: > iptables -t nat -A PREROUTING -d EXT_IP -p tcp -m tcp --dport > 25 -j DNAT --to-destination INT_IP > на что ее поменять что бы залимитировало до 1 нового соединения в > 30 секунд с реджектом (анричеблом) или дропом Сломал мозг пока прочитал этот полет терминов инженерной мысли.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "iptables+DNAT+limit rate"	+/–
	Сообщение от PavelR (??) on 04-Июн-11, 19:30
	>[оверквотинг удален] >> вроде достаточно тривиальная задача: залимитировать новые коннекты с определенного ипе >> (лобовая защита от доса), но все ослажняяется тем что залимитировать нужно >> DNAT в прероутинге форварда) >> может кто поделится примером? >> сейчас трансляция лобовая: >> iptables -t nat -A PREROUTING -d EXT_IP -p tcp -m tcp --dport >> 25 -j DNAT --to-destination INT_IP >> на что ее поменять что бы залимитировало до 1 нового соединения в >> 30 секунд с реджектом (анричеблом) или дропом > Сломал мозг пока прочитал этот полет терминов инженерной мысли. вот выдрал пример из рабочего конфига -A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-above 2/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name dport8080 -j DROP попробуй его в mangle.PREROUTING впихнуть, или в nat.PREROUTING ...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "iptables+DNAT+limit rate"	+/–
	Сообщение от luserz on 04-Июн-11, 22:26
	> вот выдрал пример из рабочего конфига > -A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK > SYN -m hashlimit --hashlimit-above 2/sec --hashlimit-burst 10 --hashlimit-mode srcip > --hashlimit-name dport8080 -j DROP > попробуй его в mangle.PREROUTING впихнуть, или в nat.PREROUTING ... ага, вроде mangle.PREROUTING помог. посмотрим. ато ругалось что в нате нельзя дроп делать.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "iptables+DNAT+limit rate"	+/–
	Сообщение от luserz on 04-Июн-11, 22:28
	> ага, вроде mangle.PREROUTING помог. посмотрим. > ато ругалось что в нате нельзя дроп делать. так, а вопрос сразу чтото возник: а оно навсегда забанило или отпустит? или настраивается как-то? несилен я в ипетаблесах (
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "iptables+DNAT+limit rate"	+/–
	Сообщение от PavelR (??) on 04-Июн-11, 22:58
	>> ага, вроде mangle.PREROUTING помог. посмотрим. >> ато ругалось что в нате нельзя дроп делать. > так, а вопрос сразу чтото возник: а оно навсегда забанило или отпустит? > или настраивается как-то? > несилен я в ипетаблесах ( man iptables /hahslimit настраивается опциями при создании правила.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "iptables+DNAT+limit rate"	+/–
	Сообщение от luserz on 07-Июн-11, 17:14
	> man iptables > /hahslimit > настраивается опциями при создании правила. да, спасибо, то что нужно!
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору