Вопрос IPTABLES ограничение запросов

0

1

Есть сервер на котором нужно ограничить кол-во запросов с 1 ip в секунду, я делаю командой iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 15 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

Она работает, Но проблема в том, что нужно чтоб она ограничивала все айпи кроме определенного к примеру 1.1.1.1 Пробывал писать iptables -I INPUT 1 -s 1.1.1.1 -j ACCEPT iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 15 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP Но не работает.

Ссылка

←	NetworkManager, автоматическое поднятие соединения при отключенном кабеле

PPPoE-server on multiple vlan`s - подсчет сессий

→

iptables -I INPUT 1 ! -s 1.1.1.1 -j ACCEPT
iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 15 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

А так?

dhameoelin ★★★★★
(30.06.17 21:41:59 MSK)
Последнее исправление: dhameoelin 30.06.17 21:42:20 MSK (всего исправлений: 1)

Ответ на: комментарий от dhameoelin 30.06.17 21:41:59 MSK

Работает

Помоему работает, спасибо, а в чем разница, что дает ! ?

dimetr50
(30.06.17 21:59:34 MSK) автор топика

Ответ на: Работает от dimetr50 30.06.17 21:59:34 MSK

https://www.opennet.ru/docs/RUS/iptables/

... Как и ранее, символ !, установленный перед адресом, означает логическое отрицание, т.е. --source ! 192.168.0.0/24 означает любой адрес кроме адресов 192.168.0.x.

yrii2121
(30.06.17 22:04:19 MSK)

Ссылка

У тебя второе правило вставляется в начало цепочки.

Deleted
(30.06.17 22:10:37 MSK)

Ответ на: комментарий от Deleted 30.06.17 22:10:37 MSK

О, точно, а я не обратил внимания

dhameoelin ★★★★★
(30.06.17 22:16:40 MSK)

Ссылка

Ответ на: Работает от dimetr50 30.06.17 21:59:34 MSK

iptables -A INPUT ! -s 1.1.1.1 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 15 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

Вот так попробуй

dhameoelin ★★★★★
(30.06.17 22:17:38 MSK)

Ответ на: комментарий от Deleted 30.06.17 22:10:37 MSK

нет

я его ставил в первое и перепроверял оно было в первом

dimetr50
(30.06.17 22:19:13 MSK) автор топика

Ответ на: комментарий от dhameoelin 30.06.17 22:17:38 MSK

http://prntscr.com/fq53z0 не пойдет?

dimetr50
(30.06.17 22:22:32 MSK) автор топика

Ответ на: комментарий от dimetr50 30.06.17 22:22:32 MSK

Откуда я знаю, пойдёт или нет? Синтаксис я скопипастил из ОП-поста особо не проверяя. Навскидку - работать должно. На лабе у меня заработало, вроде как.

dhameoelin ★★★★★
(30.06.17 22:25:52 MSK)

Ответ на: комментарий от dhameoelin 30.06.17 22:25:52 MSK

Покрайне мере до этого как делал все время блочило айпи) а сейчас норм вроде

dimetr50
(30.06.17 22:30:40 MSK) автор топика

Ссылка

Ответ на: нет от dimetr50 30.06.17 22:19:13 MSK

iptables -I INPUT ! -s 1.1.1.1 -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 15 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

p.s. ты бы iptables -nL показал, а то может у тебя проблема в другом месте.

Deleted
(30.06.17 22:30:58 MSK)
Последнее исправление: MyLittleLoli 30.06.17 22:32:11 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 30.06.17 22:30:58 MSK

http://prntscr.com/fq53z0 тут показывал

dimetr50
(30.06.17 22:35:08 MSK) автор топика

Ответ на: нет от dimetr50 30.06.17 22:19:13 MSK

Неверю. Сначала -I 1 а потом просто -I что значит тоже самое. т.е. второе правило будет выше первого.
Вообще говоря использовать всякие -I не самый лучший вариант, как раз из-за этого и возникают проблемы/не-понимание. -I разве что для тестов годиться.
Или используйте последовательное добавление, которое будет визуально понятно. Или создайте отдельную цепочку.

anc ★★★★★
(30.06.17 22:36:48 MSK)

Ссылка

Ответ на: комментарий от dimetr50 30.06.17 22:35:08 MSK

Это все, что есть в цепочке INPUT?

Deleted
(30.06.17 22:38:43 MSK)

Ответ на: комментарий от dimetr50 30.06.17 22:35:08 MSK

На этой картинке accept всем кроме, 185.x.x.x т.е. следующее правило будет работать только для 185.x.x.x
ЗЫ Скидывать правила картинками - «это перебор» (с). Показываете текстом и здесь.

anc ★★★★★
(30.06.17 22:41:43 MSK)

Ссылка

Ответ на: комментарий от Deleted 30.06.17 22:30:58 MSK

Плохой пример с ! . Потом понадобиться больше одного ip... вобщем кто-то и за руководство к действию может воспринять.
Надеюсь догадываетесь какая следующая тема будет? :)

anc ★★★★★
(30.06.17 22:47:20 MSK)

Ответ на: комментарий от Deleted 30.06.17 22:38:43 MSK

Если вы обратили внимание, то это начало цепочки, так что по большому счету уже достаточно.

anc ★★★★★
(30.06.17 22:48:33 MSK)

Ответ на: комментарий от anc 30.06.17 22:47:20 MSK

Нахаляву и хотфикс сладкий)

dhameoelin ★★★★★
(30.06.17 23:00:04 MSK)

Ссылка

Ответ на: комментарий от anc 30.06.17 22:48:33 MSK

Может у него потом сразу REJECT идет.

Плохой пример

Ну он хотя бы делает то, что хочет ТС, а не наоборот.

Потом понадобиться больше одного ip

ipset в помощь.

Deleted
(30.06.17 23:01:50 MSK)

Ответ на: комментарий от Deleted 30.06.17 23:01:50 MSK

Может у него потом сразу REJECT идет.

А не пофиг? Вы реально правила смотрели? Такое чувство что нет.

anc ★★★★★
(30.06.17 23:04:29 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	NetworkManager, автоматическое поднятие соединения при отключенном кабеле

Admin

PPPoE-server on multiple vlan`s - подсчет сессий

→

Работает

нет

Похожие темы