Fórum Ubuntu CZ/SK
Ostatní => Archiv => Téma založeno: Jakub Kocourek 23 Března 2007, 15:27:01
-
Pokouším se na serveru doladit firewall, ale narazil jsem na problém. Rád bych nastavil limity na icmp spoje a ochranu proti syn flood. Zroušel jsem přidat:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A syn-flood -j DROP
Bohužel i když snížím prahové hodnoty, nezdá se že by to nějak fungovalo :( Spojů si na server udělám, kolik chci a pinguju jak divej. Kde je problém?
Díky
Jakub Kocourek
-
Jsem to ale blbec. Takhle to fungovat nemůže :)
#SYN FLOOD ATTACK BLOCK
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 20/s --limit-burst 5 -j RETURN
iptables -A syn-flood -j DROP
iptables -A INPUT -i eth1 -p tcp --syn -j syn-flood
iptables -A INPUT -i eth1 -p icmp --icmp-type 'echo-request' -m limit --limit 1/s --limit-burst 10 -j QUEUE
iptables -A INPUT -i eth1 -p icmp -j syn-flood
-
takže Vyřešeno?
-
jj, vyřešeno. Moje chyba. Takhle to tedy vypadá celé a funkční (kdyby to někdo potřeboval):
#SYN FLOOD ATTACK BLOCK
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
iptables -A INPUT -i eth1 -p tcp --syn -j syn-flood
iptables -A INPUT -i eth1 -p icmp --icmp-type 'echo-request' -m limit --limit 1/s --limit-burst 10 -j QUEUE
iptables -A INPUT -i eth1 -p icmp -j syn-flood
Pro úplnost - eth1 je moje vnější rozhraní (přístupné z internetu). Akce QUEUE znamená předání paketu dál na Snort Inline. Pokud v systému Snort Inline neběží, bude tam ACCEPT.
Pokud máte někdo výhrady k nastaveným limitům, dejte vědět - nemám s tím takové zkušenosti.
Jakub