Ubuntu i iptables

[Pietia. 0]

Witam, z linuxem nie miałem dużo do czynienia potrafię tylko trochę podstaw lecz chciałbym przetestować iptables ale nie wiem jak ustawić limit połączeń dla jednej osoby oraz jak zabezpieczyć się przed dosem.

[Gość patrys]

iptables+connlimit

 

Takie na szybko dla 10 połączeń tcp z jednego ip na port 80:

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset

[Gość]

Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji)

[Pietia. 0]

iptables+connlimit

 

Takie na szybko dla 10 połączeń tcp z jednego ip na port 80:

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset

 

 

Przy próbie ustawienia wyświetla się:

 

iptables: Invalid argument. Run `dmesg' for more information.

 

 

@UP zawsze lepsze takie zabezpieczenie niż żadne.

Edytowano Wrzesień 5, 2012 przez Pietia. (zobacz historię edycji)

[Miłosz 2311]

To pokaż nam co ten dmesg wypluwa z końca:

 

dmesg | tail -n 10

[Gość patrys]

Sprawdź czy wpisujesz poprawnie i pokaż: dmesg | tail

[N0Name 48]

Jak mówisz że zawsze coś to zainstaluj fail2ban program który blokuje dostep inruzowi jeżeli ma wiele nieudanych prób logowan, dodatkowo możesz zmienić sobie port ssh. Rownież możesz zainstalować sobie jakiś monitoring ruchu/sieci połączeń np. iftop.

[Pietia. 0]

ip_tables: connlimit match: invalid size 24 != 32
ip_tables: connlimit match: invalid size 24 != 32

 

To ten błąd.

 

 

Jak mówisz że zawsze coś to zainstaluj fail2ban program który blokuje dostep inruzowi jeżeli ma wiele nieudanych prób logowan, dodatkowo możesz zmienić sobie port ssh. Rownież możesz zainstalować sobie jakiś monitoring ruchu/sieci połączeń np. iftop.

Dzięki, na razie zleży mi na jako takim zabezpieczeniu przed ddosami i dosami.

[Gość patrys]

Dodaj za above: --connlimit-mask 32

[Pietia. 0]

Dodaj za above: --connlimit-mask 32

 

Ma to wyglądać tak:

 

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above --connlimit-mask 32 10 -j REJECT --reject-with tcp-reset

 

Jeśli tak to wyświetla się coś takiego:

 

Bad argument `32'

 

edit

 

Przeniosłem to 10 przed connlimit-mask i wywala wcześniejszy błąd.

Edytowano Wrzesień 5, 2012 przez Pietia. (zobacz historię edycji)

[lukiz 0]

Jak mówisz że zawsze coś to zainstaluj fail2ban program który blokuje dostep inruzowi jeżeli ma wiele nieudanych prób logowan, dodatkowo możesz zmienić sobie port ssh. Rownież możesz zainstalować sobie jakiś monitoring ruchu/sieci połączeń np. iftop.

 

Jak zdrowie?

ktoś się pyta o limit połączeń/sekunde per IP i zabezpieczenie przed ddosem a ty mu każesz zmienić port ssh czy instalować iftop?

 

Czytajcie chociaż o co autor prosi, bo takie "fachowe" porady można sobie w buty wsadzić.

[Gość patrys]

Problem z modułem connlimit w kernelu, bo w sumie 32 jest standardową maską, to jakiś VPS ?

Jeżeli tak to zostaje użycie limitowania połączeń w modułach do apache/nginx/lighttpd czy co tam podaje stronę.

[Gość Kamikadze]

Jak zdrowie?

ktoś się pyta o limit połączeń/sekunde per IP i zabezpieczenie przed ddosem a ty mu każesz zmienić port ssh czy instalować iftop?

 

Czytajcie chociaż o co autor prosi, bo takie "fachowe" porady można sobie w buty wsadzić.

 

 

Ty czytaj uważnie posty innych użytkowników.

 

N0Name napisał "może" a ty mówisz że "każe" - różnica jest ogroomna!

[Pietia. 0]

Problem z modułem connlimit w kernelu, bo w sumie 32 jest standardową maską, to jakiś VPS ?

Jeżeli tak to zostaje użycie limitowania połączeń w modułach do apache/nginx/lighttpd czy co tam podaje stronę.

 

Tak, mam vpsa. Później poczytam jak ograniczyć liczbę połączeń na nginx.

A czy z ograniczeniem odebranych danych też nie wyjdzie?