Re: [IPTABLES] Comment lister les paquets rejetés ?
Juste pour conclure, je voulais ajouter ceci. Juste après un :
iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP
*pendant* l'attaque, il est tout à fait possible que ton serveur
apache soit encore dans les choux. En effet, avant la mise en
place des règles ci-dessus, des requêtes http étaient sûrement
en cours et celles-là ton apache souhaite les honorer. Du coup,
ton apache envoie tant bien que mal ses réponses aux méchants
hôtes 72.44.248.136 et 66.23.229.10. Normalement, les 2 méchants
sont censés envoyer un paquet d'acquittement comme quoi ils ont
bien reçu la réponse du serveur. Mais ces paquets d'acquittement
ne peuvent plus arriver car les 2 règles ci-dessus l'empêchent.
Du coup, apache2 cherche à renvoyer à nouveau ses réponses etc.
Et du coup, il continue à être dans les choux pendant un certain
temps.
En revanche, avec un truc du genre :
1. invoke-rc.d apache2 stop # on arrête toutes les connexions en cours.
2.
iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP
3.
invoke-rc.d apache2 start
il me semble que ton apache2 est serein aussitôt après et
les 2 méchants hôtes ne peuvent plus l'embêter.
--
François Lafont
Reply to: