Strona 1 z 1
Limit nadchodzących pakietów UDP na sekundę
: 08 czerwca 2016, 10:53
autor: Hajt
Chciałbym dodać limit 50 nadchodzących pakietów UDP z jednego adresu IP na sekundę. Kompletnie nie wiem jak się za to zabrać, co prawa widziałem gotowe reguły iptables w google ale dla połączeń TCP.
Re: Limit nadchodzących pakietów UDP na sekundę
: 08 czerwca 2016, 11:47
autor: dedito
Pokaż te gotowe reguły dla tcp.
Re: Limit nadchodzących pakietów UDP na sekundę
: 08 czerwca 2016, 11:57
autor: Hajt
Kod: Zaznacz cały
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 150/second --limit-burst 160 -j ACCEPT
Re: Limit nadchodzących pakietów UDP na sekundę
: 08 czerwca 2016, 13:50
autor: dedito
Spróbuj w osobnym łańcuchu z modułem -m limit
np.
Kod: Zaznacz cały
iptables -N udp-flood
iptables -I INPUT -p udp -s "ip_do_przyciecia" -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 50/s -j RETURN
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-limit przekroczony: '
iptables -A udp-flood -j DROP
"ip_do_przyciecia" zastąp adresem IP który chcesz limitować.
Re: Limit nadchodzących pakietów UDP na sekundę
: 08 czerwca 2016, 14:33
autor: Hajt
Dzięki, działa ale czy da się jakoś ustawić limit dla każdego adresu IP? Nawet tego którego jeszcze nie znam. Jak dałem --dport 36963 zamiast -s "ip_do_przyciecia" to wycinało pakiety nawet tych którzy nie przekroczyli limitu.
Re: Limit nadchodzących pakietów UDP na sekundę
: 08 czerwca 2016, 16:28
autor: dedito
Oczywiście, skasuj to co masz z parametrem -s, ale wtedy będzie ciąć wszystkich, bo wszyscy będą liczeni do jednej puli.
W tym nowym łańcuchu możesz sobie rozpisać większą grupę adresów.
Żeby każdy trafiał do "nowego licznika" to nie wiem, nie mam pomysłu.
Na chwilę obecną przychodzi mi na myśl jedynie jakiś QOS.
Poza tym w twoich założeniach był jeden IP i pod to przygotowałem propozycję.
Re: Limit nadchodzących pakietów UDP na sekundę
: 09 czerwca 2016, 12:34
autor: Hajt
No nic trudno, tak czy inaczej dziękuję za odpowiedź. Może istnieją jakieś inne narzędzia niż iptables których mógłbym użyć?
Re: Limit nadchodzących pakietów UDP na sekundę
: 09 czerwca 2016, 13:01
autor: dedito
Hajt pisze:Może istnieją jakieś inne narzędzia niż iptables których mógłbym użyć?
Tak, wspomniane już QOS.
Jak podrążysz jeszcze temat iptables to może znajdziesz jakieś rozwiązanie oparte o markowanie pakietów (jeśli ma to sens).