iptables a limity připojení

[Jakub Kocourek]

Pokouším se na serveru doladit firewall, ale narazil jsem na problém. Rád bych nastavil limity na icmp spoje a ochranu proti syn flood. Zroušel jsem přidat:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A syn-flood -j DROP

Bohužel i když snížím prahové hodnoty, nezdá se že by to nějak fungovalo Spojů si na server udělám, kolik chci a pinguju jak divej. Kde je problém?

Díky
Jakub Kocourek

[Jakub Kocourek]

Jsem to ale blbec. Takhle to fungovat nemůže

#SYN FLOOD ATTACK BLOCK
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 20/s --limit-burst 5 -j RETURN
iptables -A syn-flood -j DROP
iptables -A INPUT -i eth1 -p tcp --syn -j syn-flood
iptables -A INPUT -i eth1 -p icmp --icmp-type 'echo-request' -m limit --limit 1/s --limit-burst 10 -j QUEUE
iptables -A INPUT -i eth1 -p icmp -j syn-flood

[Jakub Lucký]

takže Vyřešeno?

[Jakub Kocourek]

jj, vyřešeno. Moje chyba. Takhle to tedy vypadá celé a funkční (kdyby to někdo potřeboval):
#SYN FLOOD ATTACK BLOCK
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
iptables -A INPUT -i eth1 -p tcp --syn -j syn-flood
iptables -A INPUT -i eth1 -p icmp --icmp-type 'echo-request' -m limit --limit 1/s --limit-burst 10 -j QUEUE
iptables -A INPUT -i eth1 -p icmp -j syn-flood

Pro úplnost - eth1 je moje vnější rozhraní (přístupné z internetu). Akce QUEUE znamená předání paketu dál na Snort Inline. Pokud v systému Snort Inline neběží, bude tam ACCEPT.

Pokud máte někdo výhrady k nastaveným limitům, dejte vědět - nemám s tím takové zkušenosti.

Jakub