Limit nadchodzących pakietów UDP na sekundę

[Hajt]

Chciałbym dodać limit 50 nadchodzących pakietów UDP z jednego adresu IP na sekundę. Kompletnie nie wiem jak się za to zabrać, co prawa widziałem gotowe reguły iptables w google ale dla połączeń TCP.

[dedito]

Pokaż te gotowe reguły dla tcp.

[Hajt]

Kod: Zaznacz cały

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 150/second --limit-burst 160 -j ACCEPT

[dedito]

Spróbuj w osobnym łańcuchu z modułem -m limit
np.

Kod: Zaznacz cały

iptables -N udp-flood
iptables -I INPUT -p udp -s "ip_do_przyciecia" -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 50/s -j RETURN
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-limit przekroczony: '
iptables -A udp-flood -j DROP

"ip_do_przyciecia" zastąp adresem IP który chcesz limitować.

[Hajt]

Dzięki, działa ale czy da się jakoś ustawić limit dla każdego adresu IP? Nawet tego którego jeszcze nie znam. Jak dałem --dport 36963 zamiast -s "ip_do_przyciecia" to wycinało pakiety nawet tych którzy nie przekroczyli limitu.

[dedito]

Oczywiście, skasuj to co masz z parametrem -s, ale wtedy będzie ciąć wszystkich, bo wszyscy będą liczeni do jednej puli.
W tym nowym łańcuchu możesz sobie rozpisać większą grupę adresów.

Żeby każdy trafiał do "nowego licznika" to nie wiem, nie mam pomysłu.
Na chwilę obecną przychodzi mi na myśl jedynie jakiś QOS.

Poza tym w twoich założeniach był jeden IP i pod to przygotowałem propozycję.

[Hajt]

No nic trudno, tak czy inaczej dziękuję za odpowiedź. Może istnieją jakieś inne narzędzia niż iptables których mógłbym użyć?

[dedito]

Może istnieją jakieś inne narzędzia niż iptables których mógłbym użyć?

Tak, wspomniane już QOS.
Jak podrążysz jeszcze temat iptables to może znajdziesz jakieś rozwiązanie oparte o markowanie pakietów (jeśli ma to sens).