Re: iptables mac

To: debian-russian@lists.debian.org
Subject: Re: iptables mac
From: Mikhail A Antonov <bart@solarnet.ru>
Date: Mon, 17 Jun 2013 04:06:04 +0400
Message-id: <[🔎] 51BE52EC.5010504@solarnet.ru>
In-reply-to: <[🔎] 51BD5DE1.5080504@gmail.com>
References: <[🔎] 51BC186F.9080607@gmail.com> <[🔎] 51BC3AD7.5010303@solarnet.ru> <[🔎] 51BC41FE.3030101@gmail.com> <[🔎] 51BCE57E.1010307@solarnet.ru> <[🔎] 51BD5DE1.5080504@gmail.com>

16.06.2013 10:40, Alex Dubinin пишет:
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> Эта строка точно дописана? Никак не пойму что она делает? По-моему она
> должна "маркировать" что-то как-то например так:
> iptables -A INPUT -p tcp -m tcp --dport 80 -m recent --set --name httpddos --rsource
> Я прав? Вы это хотели написать?
> И мне осталась непонятной строка:
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
> я почти вижу что это ограничение на количество коннектов в минуту
> тремя, вернее пакетов с флагом NEW.
> только фрагмент с --update мне опять же непонятен.
Правила, которые я привёл делают так:
* 3 коннекта в минуту - разрешено.
* Больше 3 коннектов в минуту - в дроп.
* Если за минуту дропа пришла ещё одна попытка подключиться - таймер
доставания из дропа начинает отсчёт заново.
* Плюс заведомо белые хосты в SSH. Туда можно добавить пару-тройку
всегда статичных серверов/сетей, чтобы если что - с них зайти.
В моём варианте все строчки дописаны целиком и написаны верно. Разве что
IP надо нужные поставить при желании :)
А ещё мой способ можно применять, например, к smtp для особо упоротых
спамеров.

> P.S. На SSH по моему мнению это вполне удобно. стукнулся на порт и
> делай что нужно. С любого IP без ограничений каких-бы то ни было для
> меня и с недоступным портом для других. С момента введения PK не было
> ни одного левого SYN к SSH (за более чем 5 лет).
Когда один сервер и ты единственные его админ - можно и по приколу
заморочиться. Когда серверов под сотню и ты не один туда ходишь - не
очень удобно. Особенно если порты для PK везде разные.
Да и как всё это веселье в ~/.ssh/config писать?
Ведь гораздо удобнее сказать ssh some-name чем ssh user@1.2.3.4 -p 222
особенно если вместо 1.2.3.4 будет что-то типа
2001:db8:5abc:3cde:fe9d:a3dc:8b65:a5c7
А если к этому 2001:db8:5abc:3cde:fe9d:a3dc:8b65:a5c7 ещё и PK
прикрутить и каждый раз о нём вспоминать (ага, при каждом реконнекте на
gprs) - нет уж, спасибо.

-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.ru/
XMPP: antmix@stopicq.ru

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to:

Follow-Ups:
- Re: iptables mac
  - From: Alex Dubinin <maillist.debian@gmail.com>

References:
- iptables mac
  - From: Alex Dubinin <maillist.debian@gmail.com>
- Re: iptables mac
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: iptables mac
  - From: Alex Dubinin <maillist.debian@gmail.com>
- Re: iptables mac
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: iptables mac
  - From: Alex Dubinin <maillist.debian@gmail.com>

Prev by Date: Re: Nautilus пожирает себя
Next by Date: Re: iptables mac
Previous by thread: Re: iptables mac
Next by thread: Re: iptables mac
Index(es):
- Date
- Thread