fail2ban synflood iptables

0

1

Здравствуйте. Есть такое правило iptables. Канал 25 mbit.

-A LOGGING -i eth0 -p tcp --syn -m limit --limit 5/min -j LOG --log-prefix "Logging: SYN attack
: "
-A LOGGING -j RETURN

Поможет ли оно защититься от syn атак? В fail2ban правило

[iptables-dropped]

# port = all
enabled = true
filter = iptables-dropped
banaction = iptables-allports[name=iptables-dropped, protocol=tcp, blocktype=DROP]
# logpath = /var/log/syslog
logpath = /var/log/iptables.log
findtime = 120
bantime = 7200
maxretry = 3

Фильтр

[Definition]
failregex = SYN attack: .* SRC=<HOST> .* SYN URGP=0
# failregex = ^<HOST> -.*IPTables Dropped:.*SYN URGP=0
ignoreregex =

Дело в том что при подключении (с правильным паролем) по pop3 правило блокирует подключение.

В гугле куча вариантов. Все ведут себя странно. Кто как реально борется? Интересно именно для внешки около 25 mbit.

Ссылка

←	Как «прибить» исходящий трафик к определённому IP при нескольких интерфейсах?

Kubernetes вопросы по установке

→

Ваше правило просто пишет в лог до 5 сообщений в минуту о syn пакетах, не важно с какого хоста. Наверное, вам нужно hashlimit.

mky ★★★★★
(20.11.19 02:31:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как «прибить» исходящий трафик к определённому IP при нескольких интерфейсах?

Admin

Kubernetes вопросы по установке

→

Похожие темы