Строчку iptables перевести в ShoreWall

0

1

Как перевести правило iptables в синтаксис файрвола Shorewall? Хочу оградиться от syn-флуда таким правилом: iptables -A INPUT -p tcp –syn –dport 80 -m connlimit –connlimit-above 10 -j DROP В ShoreWall правило пишется в файл в колонки идущие по порядку: Action Source Dest Proto DestPort SourcePort OriginalDestination RateLimit UserGroup Mark ConnLimit Time Headers ну и etc… Тут наиболее интересна колонка ConnLimit. Если в целом записать дроп-правило ограничивающее syn-пакеты в парадигме ShoreWall я еще соображу, то с синтаксисом в колонке CONNLIMIT я буксую…

←	Активировать автоматическое включение на OPENWRT

ST терминал

→

А не нужно буксовать. Нужно в документацию смотреть. Там все написано.

manpages/shorewall-rules.html

vel ★★★★★
(26.02.24 15:32:20 MSK)

А смысл в этом какой? Лучше осваивать стандартный на сегодня nftables, там и все эти надстройки не особо актуальны. Тем более, автор Shorewall не планирует заниматься переносом на nft.

anonymous
(26.02.24 15:45:26 MSK)

Ответ на: комментарий от vel 26.02.24 15:32:20 MSK

[obmenesrat@gateway]# iptables -L | grep «72.252»

DROP tcp – anywhere anywhere source IP range 72.252.141.130-72.252.141.140 multiport dports http,https #conn/32 > 10

Вот так перевелось в iptables правило из ShareWall при указании в колонке CONNLIMIT параметра !10. По идее должно работать следующим образом: дропать все запросы с рейджа адресов, если количество подключений превысит 10.

До указания !10 правило выглядело так:

DROP all – anywhere anywhere source IP range 72.252.141.130-72.252.141.140

protoblastula
(26.02.24 16:46:19 MSK) автор топика

Ответ на: комментарий от anonymous 26.02.24 15:45:26 MSK

Люди разработывающие nftables - тупые фанатики.

в nftables не предусмотрена модульность.

Если на уровне ядра там все хорошо так же как в iptables, то в userspace - полный писец. Для добавление своего модуля нужно исправлять грамматику и перекомпилировать все.

nftables так и останется неюзабельным говном пока там не появится конструкция типа «ext_(match|target) xxxx ext_args yyyyy» которая будет подгружать модули и передавать им параметры.

vel ★★★★★
(26.02.24 17:28:23 MSK)

←	Активировать автоматическое включение на OPENWRT

General

ST терминал

→

Похожие темы