Модуль IPLimit для IPTables

0

1

Здравствуйте. Прочитал один мануал по защите от TCP флуда. И там было указано правило для IPTables. Выглядит оно так:

iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above 10 -j DROP

Но у меня iptables сразу же ругается

iptables v1.4.14: Couldn't load match 'iplimit': No such file or directory

Решил чутка полазить в гугле. Но ничего толкового не нашёл. Одни лишь советы о том, что «проще юзать nginx», и т.п. Мне это не подходит.

Есть ещё вопрос. Видел комментарии на тему того, что

iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above 10 -j DROP

тоже самое что

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j DROP

Это правда так? Нет никакой разницы?

Заранее спасибо

Ссылка

←	Postfix задержка при добавлении Spamassassin

pfsense 2.3.2 + wifi адаптеры - настройка беспроводной сети.

→

iplimit давно умер. connlimit умеет его функционал, и не только для tcp.

mky ★★★★★
(08.08.16 02:20:48 MSK)

Ответ на: комментарий от mky 08.08.16 02:20:48 MSK

То есть та вариация правил с connlimit справедлива, и может быть использована?

Night_FoX
(08.08.16 02:37:46 MSK) автор топика

Ответ на: комментарий от Night_FoX 08.08.16 02:37:46 MSK

Вполне, и работает. Только вот применять такое правило для вэба имхо ооочень плохая идея.

anc ★★★★★
(08.08.16 15:26:05 MSK)

Ответ на: комментарий от anc 08.08.16 15:26:05 MSK

Спасибо)

Мне для игрового сервера. Не могу понять как отследить то, что нас атакуют. То есть какие-то команды из гугла я нарыл, но на практике ничего понять не могу. Как определить на какой порт идёт атака? Или при атаке нет разницы, т.к. нагрузка по всем будет? Толкового мануала на эту тему мне найти не удалось. Так что сижу ищу правила, которые могут хоть как-то мне помочь.

Night_FoX
(08.08.16 17:31:07 MSK) автор топика

Ответ на: комментарий от anc 08.08.16 15:26:05 MSK

Вот отсюда беру все правила и т.п.

https://xakep.ru/2009/10/14/49752/

P.S. Да, ничего свежее, но также понятно расписанного, ничего не нашёл

Night_FoX
(08.08.16 17:40:17 MSK) автор топика

Ссылка

Ответ на: комментарий от Night_FoX 08.08.16 17:31:07 MSK

Тут слишком обширная тема. Например вас смогут каками закидать, и на закрытые порты, т.е. просто забить канал, тут и у провов с широким каналом бывает начинаются проблемы.
Или другой вариант, просто ограничить кол-во соединений как в вашем запросе, тут как раз можно использовать connlimit. Про игровые сервера знаю только то что они существуют, так что конкретных рекомендаций не дам. Простите.

anc ★★★★★
(08.08.16 18:28:35 MSK)

Ответ на: комментарий от anc 08.08.16 18:28:35 MSK

А с каким значением канал считается «широким». Вот я измерил, на сервере канал ~90мб/с. Это ведь мало?

Night_FoX
(09.08.16 17:41:14 MSK) автор топика

Ответ на: комментарий от Night_FoX 09.08.16 17:41:14 MSK

Это была не более чем информация о том, что и «много"гигабитные каналы забивали. В моей практике был случай когда тот же iptables нормально спас от днс флуда на канале <10мбит (точно уже не помню сколько именно 2, 6, 8мбит? там было), а так же когда не самый маленький пров ДС неделю разгребал (недавно было, хорошо что у меня больше одного прова, реально канал просто лежал). Вобщем как фишка ляжет.
Общий принцип такой, пытаемся справиться сами, если не получается (т.е. канал забит настолько что толку от DROP входящих пакетов уже роли не играет, мы же не можим никак повлиять на сам входящие пакеты) то обращаемся к прову.

anc ★★★★★
(09.08.16 19:00:06 MSK)