Skocz do zawartości
Pietia.

Ubuntu i iptables

Polecane posty

Witam, z linuxem nie miałem dużo do czynienia potrafię tylko trochę podstaw lecz chciałbym przetestować iptables ale nie wiem jak ustawić limit połączeń dla jednej osoby oraz jak zabezpieczyć się przed dosem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

iptables+connlimit

 

Takie na szybko dla 10 połączeń tcp z jednego ip na port 80:

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

iptables+connlimit

 

Takie na szybko dla 10 połączeń tcp z jednego ip na port 80:

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset

 

 

Przy próbie ustawienia wyświetla się:

 

iptables: Invalid argument. Run `dmesg' for more information.

 

 

@UP zawsze lepsze takie zabezpieczenie niż żadne.

Edytowano przez Pietia. (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To pokaż nam co ten dmesg wypluwa z końca:

 

dmesg | tail -n 10

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak mówisz że zawsze coś to zainstaluj fail2ban program który blokuje dostep inruzowi jeżeli ma wiele nieudanych prób logowan, dodatkowo możesz zmienić sobie port ssh. Rownież możesz zainstalować sobie jakiś monitoring ruchu/sieci połączeń np. iftop.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ip_tables: connlimit match: invalid size 24 != 32
ip_tables: connlimit match: invalid size 24 != 32

 

To ten błąd.

 

 

Jak mówisz że zawsze coś to zainstaluj fail2ban program który blokuje dostep inruzowi jeżeli ma wiele nieudanych prób logowan, dodatkowo możesz zmienić sobie port ssh. Rownież możesz zainstalować sobie jakiś monitoring ruchu/sieci połączeń np. iftop.

Dzięki, na razie zleży mi na jako takim zabezpieczeniu przed ddosami i dosami.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dodaj za above: --connlimit-mask 32

 

Ma to wyglądać tak:

 

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above --connlimit-mask 32 10 -j REJECT --reject-with tcp-reset

 

Jeśli tak to wyświetla się coś takiego:

 

Bad argument `32'

 

edit

 

Przeniosłem to 10 przed connlimit-mask i wywala wcześniejszy błąd.

Edytowano przez Pietia. (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak mówisz że zawsze coś to zainstaluj fail2ban program który blokuje dostep inruzowi jeżeli ma wiele nieudanych prób logowan, dodatkowo możesz zmienić sobie port ssh. Rownież możesz zainstalować sobie jakiś monitoring ruchu/sieci połączeń np. iftop.

 

Jak zdrowie?

ktoś się pyta o limit połączeń/sekunde per IP i zabezpieczenie przed ddosem a ty mu każesz zmienić port ssh czy instalować iftop? :lol:

 

Czytajcie chociaż o co autor prosi, bo takie "fachowe" porady można sobie w buty wsadzić.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Problem z modułem connlimit w kernelu, bo w sumie 32 jest standardową maską, to jakiś VPS ?

Jeżeli tak to zostaje użycie limitowania połączeń w modułach do apache/nginx/lighttpd czy co tam podaje stronę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Jak zdrowie?

ktoś się pyta o limit połączeń/sekunde per IP i zabezpieczenie przed ddosem a ty mu każesz zmienić port ssh czy instalować iftop? :lol:

 

Czytajcie chociaż o co autor prosi, bo takie "fachowe" porady można sobie w buty wsadzić.

 

 

Ty czytaj uważnie posty innych użytkowników.

 

N0Name napisał "może" a ty mówisz że "każe" - różnica jest ogroomna!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Problem z modułem connlimit w kernelu, bo w sumie 32 jest standardową maską, to jakiś VPS ?

Jeżeli tak to zostaje użycie limitowania połączeń w modułach do apache/nginx/lighttpd czy co tam podaje stronę.

 

Tak, mam vpsa. Później poczytam jak ograniczyć liczbę połączeń na nginx.

A czy z ograniczeniem odebranych danych też nie wyjdzie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×