Re: iptables limit vs conntrack

To: debian-italian@lists.debian.org
Subject: Re: iptables limit vs conntrack
From: Liga <alessioligabue@gmail.com>
Date: Tue, 09 Apr 2013 11:57:25 +0200
Message-id: <[🔎] 5163E605.1060200@gmail.com>
In-reply-to: <[🔎] unra3a-5r9.ln1@lily.lilliput.linux.it>
References: <[🔎] 515EAB67.9070609@gmail.com> <[🔎] unra3a-5r9.ln1@lily.lilliput.linux.it>

>> -A INPUT -p tcp --dport 22 -m limit --limit 5/sec -j ACCEPT
> Mmmmhhhh... questa ha senso utilizzarla o per UDP, o per le connessioni TCP
> ma su stato 'NEW', altrimenti rischi di stallare ssh come niente...
i FW non sono la mia specialità :D
si in realtà manca qualche pezzo tipo:
--tcp-flags SYN
che dovrebbe fare il controllo sul SYN della connessione o ho frainteso?

>
>> -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
>> -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 -j DROP
> Non conoscevo il modulo 'recent', ma leggendomi la manpage questa mi sembra
> comunque una cagata.

LOL'd ... hai ragione

in questo momento sto usando questa... sembra funzionare

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent
--set --name SSH --rsource
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent
--update --seconds 60 --hitcount 3 --name SSH --rsource -j TARPIT --tarpit

> Così accetti tutte le connesioni, e poi le stalli e/o le metti in difficoltà
> quando superano le 5, mentre per me è sensato che accetti al massimo 5
> connessioni in stato 'new'.
giusto

Reply to:

References:
- iptables limit vs conntrack
  - From: Liga <alessioligabue@gmail.com>
- Re: iptables limit vs conntrack
  - From: Marco Gaiarin <marcogaio@libero.it>

Prev by Date: Gestione alimentatore VS batteria in un portatile
Next by Date: Re: come montare galaxy s3 su debian stabile? [RISOLTO (per me)]
Previous by thread: Re: iptables limit vs conntrack
Next by thread: [bash] PID file
Index(es):
- Date
- Thread