Такое правило IPtables имеет право существовать ?

0

1

iptables -N ddoss

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 7777 -j ddoss

iptables -A ddoss -m conntrack --ctstate NEW -m recent --update --seconds 120 --hitcount 4 -j DROP

iptables -A ddoss -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -A ddoss -p tcp --dport 7777 -m connlimit --connlimit-above 3 -j DROP

iptables -A ddoss -m recent --set -j ACCEPT

Ссылка

←	Iptables как настроить ограничение пакетов за единицу времени

Увидеть пароли, которыми брутят твой SSH-сервер

→

Ты словами опиши логику, которой хочешь достичь

Pinkbyte ★★★★★
(28.01.13 12:04:43 MSK)

Ссылка

Да.

shahid ★★★★★
(28.01.13 16:04:05 MSK)

Ответ на: комментарий от shahid 28.01.13 16:04:05 MSK

в этом правиле сработал connlimit ! но не сработало

iptables -A ddoss -m conntrack --ctstate NEW -m recent --update --seconds 120 --hitcount 4 -j DROP

Paulra
(28.01.13 23:52:18 MSK) автор топика

Ответ на: комментарий от Paulra 28.01.13 23:52:18 MSK

У вас ″--set″ стоит в конце, поэтому первое соединение не должно было попасть в ″--update″, на момент прохождения первого пакета в списке не было ещё этого src ip-адреса.

Думаю, что на пятое открываемое с одного адреса соединение должен сработать recent, а не connlimit.

mky ★★★★★
(29.01.13 02:08:37 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Iptables как настроить ограничение пакетов за единицу времени

Security

Увидеть пароли, которыми брутят твой SSH-сервер

→

Похожие темы