История изменений
Исправление mky, (текущая версия) :
Я не знаю, что в терминах маршрутизатора означает «атака». Можете попробовать маркировать пакеты разными метками в mangle PREROUTING или соединения в nat PREROUTING, каждому порту (пользователю) своя метка.
В FORWARD уже использовать какой-нибудь connlimit или ещё что и метку пакета/соединения.
Хотя, если у вас в FORWARD и так прописано, с каких ip-адресов разрешно, то какждй пользователь это свой src-ip адрес...
А, ещё у модуля -m conntrack есть ctorigdstport, можно в FORWARD по нему смотреть.
В любом случае, логировать атаку нужно на маршрутизаторе, а не на 192.168.0.181, там уже нет информации куда исходно шло соединие.
Исходная версия mky, :
Я не знаю, что в терминах маршрутизатора означает «атака». Можете попробовать маркировать пакеты разными метками в mangle PREROUTING или соединения в nat PREROUTING, каждому порту (пользователю) своя метка.
В FORWARD уже использовать какой-нибудь connlimit или ещё что и метку пакета/соединения.
Хотя, если у вас в FORWARD и так прописано, с каких ip-адресов разрешно, то какждй пользователь это свой src-ip адрес...