Código: Seleccionar todo
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
Alguna idea??
iptables -m connlimit no funciona
-
fVckingmania.hell
- Mensajes: 549
- Registrado: Sab, 07 Ago 2010, 14:09
- Ubicación: /usr/src/yo.tar.bz2
iptables -m connlimit no funciona
Bueno pues lo que estoy es intentando restringir la cantidad de conexiones SSH a mi servidor y cuando agrego la linea pertinente y pruebo pues como que no hace nada de nada. Esta es la linea que tengo puesta
Pero asi y todo habro 4 consolas y le puedo hacer SSH sin problema ninguno por las cuatro.
Alguna idea??
Alguna idea??
-
KZKG^Gaara
- Mensajes: 463
- Registrado: Sab, 07 Ago 2010, 14:09
- Ubicación: /dev/kzkggaara
- Contactar:
Re: iptables -m connlimit no funciona
Yo para limitar y dar un poco de protección contra DDoS uso:
Obviamente, tienes que hacerle ajustes... pero nada complicado.
Código: Seleccionar todo
$iptables -I INPUT -i $LAN -p tcp --dport 80 -m state --state NEW -m recent --set
$iptables -I INPUT -i $LAN -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 15 -j DROP~~» KZKG^Gaara «~~
Usuario #518082 de GNU/Linux
Windows ha detectado que no tiene teclado... presione [F9] para continuar.
Usuario #518082 de GNU/Linux
Windows ha detectado que no tiene teclado... presione [F9] para continuar.
Re: iptables -m connlimit no funciona
fVckingmania.hell, creo que el problema es que le estás diciendo que no permita más de 3 paquetes con el flag SYN, es decir, tres solicitudes de conexión simultáneamente desde la misma dirección IP, pero esto no abarca las conexiones establecidas, donde dicho flag desaparece y que en tu caso son permitidas por tener políticas permisivas por defecto.
Yo lo haría al revés, es decir, establecer primero unas políticas de denegación por defecto, y luego algo como esto, incluso precisando la interfaz, la red de origen, la dirección MAC de origen y el límite de solicitudes por minuto, para mayor seguridad
Edición: Me encanta la flexibilidad que permite iptables, jeje.
Yo lo haría al revés, es decir, establecer primero unas políticas de denegación por defecto, y luego algo como esto, incluso precisando la interfaz, la red de origen, la dirección MAC de origen y el límite de solicitudes por minuto, para mayor seguridad
Código: Seleccionar todo
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --syn --dport 22 -m mac --mac-source 0F:1F:2F:3F:4F:5F -m state --state NEW -m connlimit ! --connlimit-above 1 -m limit --limit 3/min -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -m connlimit ! --connlimit-above 3 -j ACCEPT
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke
- Edmund Burke
Re: iptables -m connlimit no funciona
Por cierto, KZKG^Gaara, la coincidencia recent ciertamente es muy útil contra ataques de tipo DDoS (especialmente para el protocolo UDP), pero quizás en este caso no sea lo mejor, porque después del intervalo de tiempo establecido se podrían seguir estableciendo nuevas conexiones.
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke
- Edmund Burke
-
KZKG^Gaara
- Mensajes: 463
- Registrado: Sab, 07 Ago 2010, 14:09
- Ubicación: /dev/kzkggaara
- Contactar:
Re: iptables -m connlimit no funciona
Justo publicamos un artículo sobre este tipo de seguridad, échale un ojo que tú eres el experto 
http://blog.desdelinux.net/ddos-y-otros ... -iptables/
http://blog.desdelinux.net/ddos-y-otros ... -iptables/
~~» KZKG^Gaara «~~
Usuario #518082 de GNU/Linux
Windows ha detectado que no tiene teclado... presione [F9] para continuar.
Usuario #518082 de GNU/Linux
Windows ha detectado que no tiene teclado... presione [F9] para continuar.