Re: iptables limit vs conntrack

To: Liga <alessioligabue@gmail.com>
Cc: debian-italian@lists.debian.org
Subject: Re: iptables limit vs conntrack
From: Marco Gaiarin <marcogaio@libero.it>
Date: Mon, 8 Apr 2013 15:02:24 +0200
Message-id: <[🔎] unra3a-5r9.ln1@lily.lilliput.linux.it>
In-reply-to: <[🔎] 515EAB67.9070609@gmail.com>; from SmartGate on Mon, Apr 08, 2013 at 23:35:01PM +0200
References: <[🔎] 515EAB67.9070609@gmail.com>

Mandi! Liga
  In chel di` si favelave...

> -A INPUT -p tcp --dport 22 -m limit --limit 5/sec -j ACCEPT

Mmmmhhhh... questa ha senso utilizzarla o per UDP, o per le connessioni TCP
ma su stato 'NEW', altrimenti rischi di stallare ssh come niente...


> -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
> -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 -j DROP

Non conoscevo il modulo 'recent', ma leggendomi la manpage questa mi sembra
comunque una cagata.

Così accetti tutte le connesioni, e poi le stalli e/o le metti in difficoltà
quando superano le 5, mentre per me è sensato che accetti al massimo 5
connessioni in stato 'new'.

-- 
  Please note that free software should be interpreted as free speach
  while most seem to interprete it as free lunch.
						(Hugo van der Kooij)

Reply to:

Follow-Ups:
- Re: iptables limit vs conntrack
  - From: Liga <alessioligabue@gmail.com>

References:
- iptables limit vs conntrack
  - From: Liga <alessioligabue@gmail.com>

Prev by Date: Re: libreoffice e numeri di pagina
Next by Date: Re: mail: Cannot create lockfile
Previous by thread: iptables limit vs conntrack
Next by thread: Re: iptables limit vs conntrack
Index(es):
- Date
- Thread