iptables+limit+icmp

0

1

Всем салют. Знаю что тема не нова но не могу ограничить пинг на шлюз. Сразу скажу в тестовых целях... Временно Есть вот такие правила

-A INPUT -p icmp --icmp-type 8 -j ACCEPT 
я пишу так 
-A INPUT -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 3 -j ACCEPT

Если я правильно понял IPTables Tutorial 1.1.19 то будут проходит 3 пакета за одну минуту. Кто пнет куда копать? ОС Федора 14,iptables v1.4.9 вывод lsmod может модуль нужен

lsmod  |grep nf
nf_nat_ftp              1663  0
nf_conntrack_ftp        9047  1 nf_nat_ftp
nf_nat                 16298  2 nf_nat_ftp,iptable_nat

Ссылка

←	перекомпиляция ядра при установленном стороннем драйвере

Серверное сетевое хранилище дома

→

iptables -N limit-icmp
iptables -A limit-icmp -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 3 -j limit-icmp
iptables -A INPUT -p icmp --icmp-type 8 -j DROP

Но это тыж понимаешь что оно в общей сумме будет не пропускать по 3 пакета больше от ВСЕХ хостов а не от каждого хоста отдельно ограничивать по 3

Tok ★★
(16.06.11 17:48:06 MSK)

Ответ на: комментарий от Tok 16.06.11 17:48:06 MSK

А этот модуль мне надо подгружать CONFIG_IP_NF_MATCH_LIMIT ?

Но это тыж понимаешь что оно в общей сумме будет не пропускать по 3 пакета больше от ВСЕХ хостов а не от каждого хоста отдельно ограничивать по 3

вот это не понял... 3 пакета от каждого в 1 мин. и все или от любого узла по пакету дойдет до 3 и пойдет дропать

vip71541
(16.06.11 17:58:02 MSK) автор топика

Ах да, можно обойтись и без создания дополнительной цепочки для такой задачи - достаточно будет:

iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP

(fix)

Tok ★★
(16.06.11 18:03:16 MSK)

Ответ на: комментарий от vip71541 16.06.11 17:58:02 MSK

... от любого узла по пакету дойдет до 3 и пойдет дропать

Tok ★★
(16.06.11 18:05:10 MSK)

Ссылка

Ответ на: комментарий от Tok 16.06.11 17:48:06 MSK

Можно и для каждого отдельного хоста ограничивать, примерно так, как у меня тут разрешается только 2 пакета за 3 минуты от отдельных хостов, которые iptables запоминает:

$IPT -A INPUT -i $EXTIF -d $EXTIP -p tcp -m multiport --dports $INP_TCPSERV_E -m recent --update --seconds 180 --hitcount 2 --rttl --name SEC --syn -m state --state NEW -m limit --limit 1/second --limit-burst 10 -j LOG --log-prefix "BRUTE FORCE "
$IPT -A INPUT -i $EXTIF -d $EXTIP -p tcp -m multiport --dports $INP_TCPSERV_E -m recent --update --seconds 180 --hitcount 2 --rttl --name SEC --syn -m state --state NEW -j DROP
$IPT -A INPUT -i $EXTIF -d $EXTIP -p tcp -m multiport --dports $INP_TCPSERV_E -m recent --set --name SEC --syn -m state --state NEW -j ACCEPT

Взял кусок своего скрипта, вроде имена переменных понятны.

HolyBoy ★
(16.06.11 20:48:24 MSK)

Ответ на: комментарий от HolyBoy 16.06.11 20:48:24 MSK

Этим куском, к примеру, блокируются любители подбирать пароли к SSH. За подробностями указанных параметров обращайся в man.

HolyBoy ★
(16.06.11 20:52:19 MSK)

Ссылка

Ответ на: комментарий от Tok 16.06.11 18:03:16 MSK

или лыже не те или я не так что-то делаю добавил это 2 правило в цепочке INPUT политика по умолчанию DROP. я так понял 2 правило не требуется, но пробовал что с ним что без него результат тоже запускаю пинг на белый IP идет он без перебоев сколько хочешь запросов/ответов

 iptables -t filter -vnL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 2524  759K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
    1    60 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/min burst 3
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

может модуль надо подгрузить...?

vip71541
(17.06.11 08:58:13 MSK) автор топика

Ответ на: комментарий от vip71541 17.06.11 08:58:13 MSK

Пошел дальше проверил есть или этот модуль в ядре

make menuconfig/Network support/Networking options/Network packet filtering framework/Core Netfilter configuration/ на против limit стоит <M> оформлен в виде модуля
------------------------
 uname -a
Linux gw-fed 2.6.35.13-92.fc14.i686.PAE #1 SMP Sat May 21 17:33:09 UTC 2011 i686 i686 i386 GNU/Linux

кто что скажет....

vip71541
(17.06.11 12:00:54 MSK) автор топика

Ссылка

Ответ на: комментарий от vip71541 17.06.11 08:58:13 MSK

Попробуй те 2 правила поставить в начало цепочки а не в конец И посмотри чии будет результат

Tok ★★
(17.06.11 14:45:44 MSK)

Ответ на: комментарий от Tok 17.06.11 14:45:44 MSK

Пробовал что в начало что в конец результат один. Кто подскажет как можно подгрузить модуль ipt_limit который за это и отвечает

делаю modprobe ipt_limit все проходит без ошибок смотрю lsmod 
вот что выдает:lsmod |grep ipt
iptable_nat             3945  1
nf_nat                 16298  2 nf_nat_ftp,iptable_nat 

также смотрю в /lib/modules/2.6.35.13-92.fc14.i686.PAE/kernel/net/ipv4/netfilter его там нет ...

arptable_filter.ko
arp_tables.ko
arpt_mangle.ko
ip_queue.ko
iptable_mangle.ko
iptable_nat.ko
iptable_raw.ko
iptable_security.ko
ipt_addrtype.ko
ipt_ah.ko
ipt_CLUSTERIP.ko
ipt_ecn.ko
ipt_ECN.ko
ipt_LOG.ko
ipt_MASQUERADE.ko
ipt_NETMAP.ko
ipt_REDIRECT.ko
ipt_ULOG.ko
nf_nat_amanda.ko
nf_nat_ftp.ko
nf_nat_h323.ko
nf_nat_irc.ko
nf_nat.ko
nf_nat_pptp.ko
nf_nat_proto_dccp.ko
nf_nat_proto_gre.ko
nf_nat_proto_sctp.ko
nf_nat_proto_udplite.ko
nf_nat_sip.ko
nf_nat_snmp_basic.ko
nf_nat_tftp.ko

вот все что есть

vip71541
(20.06.11 13:58:28 MSK) автор топика

Ответ на: комментарий от vip71541 20.06.11 13:58:28 MSK

Какое у вас ядро ? Само собранное ? Проверите включен ли модуль в ядре

root@/usr/src/linux-2.6.x.x# make menuconfig 

-------------------------------------------------------------

-> Networking support
   -> Networking options
      -> Network packet filtering framework (Netfilter)
         -> Core Netfilter Configuration
            -> Netfilter Xtables support (required for ip_tables)
            -> "limit" match support

Tok ★★
(20.06.11 14:48:47 MSK)

Ответ на: комментарий от Tok 20.06.11 14:48:47 MSK

Ядро стандартное которое стало во время установки и потом обновлялось через yum upgrade а про как этот параметры оформлен в ядре я писал немного выше


make menuconfig/Network support/Networking options/Network packet filtering framework/Core Netfilter configuration/ на против limit стоит <M> оформлен в виде модуля
------------------------
 uname -a
Linux gw-fed 2.6.35.13-92.fc14.i686.PAE #1 SMP Sat May 21 17:33:09 UTC 2011 i686 i686 i386 GNU/Linux

vip71541
(20.06.11 15:01:58 MSK) автор топика

Ответ на: комментарий от vip71541 20.06.11 15:01:58 MSK

Копайте в сторону ядра и его модулей Попробуйте самому собрать данный модуль и установить ...

Tok ★★
(20.06.11 16:14:23 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	перекомпиляция ядра при установленном стороннем драйвере

Admin

Серверное сетевое хранилище дома

→

Похожие темы