16.06.2013 10:40, Alex Dubinin пишет: > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set > Эта строка точно дописана? Никак не пойму что она делает? По-моему она > должна "маркировать" что-то как-то например так: > iptables -A INPUT -p tcp -m tcp --dport 80 -m recent --set --name httpddos --rsource > Я прав? Вы это хотели написать? > И мне осталась непонятной строка: > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP > я почти вижу что это ограничение на количество коннектов в минуту > тремя, вернее пакетов с флагом NEW. > только фрагмент с --update мне опять же непонятен. Правила, которые я привёл делают так: * 3 коннекта в минуту - разрешено. * Больше 3 коннектов в минуту - в дроп. * Если за минуту дропа пришла ещё одна попытка подключиться - таймер доставания из дропа начинает отсчёт заново. * Плюс заведомо белые хосты в SSH. Туда можно добавить пару-тройку всегда статичных серверов/сетей, чтобы если что - с них зайти. В моём варианте все строчки дописаны целиком и написаны верно. Разве что IP надо нужные поставить при желании :) А ещё мой способ можно применять, например, к smtp для особо упоротых спамеров. > P.S. На SSH по моему мнению это вполне удобно. стукнулся на порт и > делай что нужно. С любого IP без ограничений каких-бы то ни было для > меня и с недоступным портом для других. С момента введения PK не было > ни одного левого SYN к SSH (за более чем 5 лет). Когда один сервер и ты единственные его админ - можно и по приколу заморочиться. Когда серверов под сотню и ты не один туда ходишь - не очень удобно. Особенно если порты для PK везде разные. Да и как всё это веселье в ~/.ssh/config писать? Ведь гораздо удобнее сказать ssh some-name чем ssh user@1.2.3.4 -p 222 особенно если вместо 1.2.3.4 будет что-то типа 2001:db8:5abc:3cde:fe9d:a3dc:8b65:a5c7 А если к этому 2001:db8:5abc:3cde:fe9d:a3dc:8b65:a5c7 ещё и PK прикрутить и каждый раз о нём вспоминать (ага, при каждом реконнекте на gprs) - нет уж, спасибо. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: antmix@stopicq.ru
Attachment:
signature.asc
Description: OpenPGP digital signature