LINUX.ORG.RU

OpenWrt iptables+hashlimit

 


0

1
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

не работают такие правила (другие либо блокируют весь траф либо наоборот все пропускают).


модуль hashlimit установлен. может ли возникать проблема из-за того что OpenWrt находится за другим роутером (идет проброс порта) ?


оказалось еще не хватает определенных модулей.

такое правило работает

iptables -N ssh_brute_check
iptables -A ssh_brute_check -m conntrack --ctstate NEW -m recent --name BLOCK --rcheck --seconds 3600 -j DROP
iptables -A ssh_brute_check -m conntrack --ctstate NEW -m hashlimit --hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/h --hashlimit-burst 2 -m recent --name BLOCK --set -j DROP
iptables -A ssh_brute_check -p tcp --syn  -j ACCEPT

iptables -I INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j ssh_brute_check

только не понятно почему в директории /proc/net/ipt_hashlimit пусто. куда тогда он все это дело пишет..

Pivo ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей