On Wed, May 02, 2007 at 10:43:32PM +0200, Benjamin RIOU wrote: > >Aurais tu un exemple pour mettre en evidence l'interet de compter le > >nombre de connxions etablies plutot que le nombre de nouvelles connexions > >? > > > >Merci. > > > > iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent > --name overconnect --rcheck --seconds 60 -j DROP > iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent > --seconds 60 --hitcount 200 --name overconnect --update -j DROP Au final, j'aurais plutot vu une directive *limit* à l'utilisation de *recent* car tu connais quelque chose sur le client, son adresse mac. J'utilise *recent* pour matcher des clients inconnus suivant leur ip pour des regles mettant en oeuvre *hitcount*. Mais Pascal a mis en évidence un point important d'apres moi : connexions etablies ou nouvelles. > > Passe maintenant. > Si j'ai bien compris : > Au bout de la 201 eme connexion l'espace de 60 secondes : > la premiere ligne passe ne rejette pas le paquet > la seconde ligne blackliste le paquet et le rejette > Dans l'exemple que j'avais mentionne precedemment, je mettais a jour l'adress ip du client à chaque connexion, et ensuite diminuais le compteur de la meme maniere. Si le compteur atteint les 200 dans la minute alors les paquets sontr DROPpes autrement on passe a la regle suivante et on les ACCEPT. > C'est quand même étonnant que connlimit soit dans le man, soit en > librairies, et ne fonctionne pas quand même Aucune idee ! -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
Attachment:
signature.asc
Description: Digital signature