LINUX.ORG.RU

Строчку iptables перевести в ShoreWall

 ,


0

1

Как перевести правило iptables в синтаксис файрвола Shorewall? Хочу оградиться от syn-флуда таким правилом: iptables -A INPUT -p tcp –syn –dport 80 -m connlimit –connlimit-above 10 -j DROP В ShoreWall правило пишется в файл в колонки идущие по порядку: Action Source Dest Proto DestPort SourcePort OriginalDestination RateLimit UserGroup Mark ConnLimit Time Headers ну и etc… Тут наиболее интересна колонка ConnLimit. Если в целом записать дроп-правило ограничивающее syn-пакеты в парадигме ShoreWall я еще соображу, то с синтаксисом в колонке CONNLIMIT я буксую…



Последнее исправление: protoblastula (всего исправлений: 3)

А смысл в этом какой? Лучше осваивать стандартный на сегодня nftables, там и все эти надстройки не особо актуальны. Тем более, автор Shorewall не планирует заниматься переносом на nft.

anonymous
()
Ответ на: комментарий от vel

[obmenesrat@gateway]# iptables -L | grep «72.252»

DROP tcp – anywhere anywhere source IP range 72.252.141.130-72.252.141.140 multiport dports http,https #conn/32 > 10

Вот так перевелось в iptables правило из ShareWall при указании в колонке CONNLIMIT параметра !10. По идее должно работать следующим образом: дропать все запросы с рейджа адресов, если количество подключений превысит 10.

До указания !10 правило выглядело так:

DROP all – anywhere anywhere source IP range 72.252.141.130-72.252.141.140

protoblastula
() автор топика
Ответ на: комментарий от anonymous

Люди разработывающие nftables - тупые фанатики.

в nftables не предусмотрена модульность.

Если на уровне ядра там все хорошо так же как в iptables, то в userspace - полный писец. Для добавление своего модуля нужно исправлять грамматику и перекомпилировать все.

nftables так и останется неюзабельным говном пока там не появится конструкция типа «ext_(match|target) xxxx ext_args yyyyy» которая будет подгружать модули и передавать им параметры.

vel ★★★★★
()