Grupo de Usuarios de Tecnologías Libres

Foro de Soporte Técnico
https://gutl.jovenclub.cu/foro/

iptables -m connlimit no funciona

https://gutl.jovenclub.cu/foro/viewtopic.php?f=13&t=1157

Página 1 de 1

iptables -m connlimit no funciona

Publicado: Mar, 15 May 2012, 11:01
por fVckingmania.hell
Bueno pues lo que estoy es intentando restringir la cantidad de conexiones SSH a mi servidor y cuando agrego la linea pertinente y pruebo pues como que no hace nada de nada. Esta es la linea que tengo puesta

Código: Seleccionar todo

iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
Pero asi y todo habro 4 consolas y le puedo hacer SSH sin problema ninguno por las cuatro.

Alguna idea??

Re: iptables -m connlimit no funciona

Publicado: Mar, 15 May 2012, 13:43
por KZKG^Gaara
Yo para limitar y dar un poco de protección contra DDoS uso:

Código: Seleccionar todo

$iptables -I INPUT -i $LAN -p tcp --dport 80 -m state --state NEW -m recent --set
$iptables -I INPUT -i $LAN -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 15 -j DROP
Obviamente, tienes que hacerle ajustes... pero nada complicado.

Re: iptables -m connlimit no funciona

Publicado: Jue, 17 May 2012, 17:02
por hugo
fVckingmania.hell, creo que el problema es que le estás diciendo que no permita más de 3 paquetes con el flag SYN, es decir, tres solicitudes de conexión simultáneamente desde la misma dirección IP, pero esto no abarca las conexiones establecidas, donde dicho flag desaparece y que en tu caso son permitidas por tener políticas permisivas por defecto.

Yo lo haría al revés, es decir, establecer primero unas políticas de denegación por defecto, y luego algo como esto, incluso precisando la interfaz, la red de origen, la dirección MAC de origen y el límite de solicitudes por minuto, para mayor seguridad ;)

Código: Seleccionar todo

iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --syn --dport 22 -m mac --mac-source 0F:1F:2F:3F:4F:5F -m state --state NEW -m connlimit ! --connlimit-above 1 -m limit --limit 3/min -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -m connlimit ! --connlimit-above 3 -j ACCEPT
Edición: Me encanta la flexibilidad que permite iptables, jeje.

Re: iptables -m connlimit no funciona

Publicado: Vie, 18 May 2012, 14:41
por hugo
Por cierto, KZKG^Gaara, la coincidencia recent ciertamente es muy útil contra ataques de tipo DDoS (especialmente para el protocolo UDP), pero quizás en este caso no sea lo mejor, porque después del intervalo de tiempo establecido se podrían seguir estableciendo nuevas conexiones.

Re: iptables -m connlimit no funciona

Publicado: Vie, 18 May 2012, 16:25
por KZKG^Gaara
Justo publicamos un artículo sobre este tipo de seguridad, échale un ojo que tú eres el experto :D
http://blog.desdelinux.net/ddos-y-otros ... -iptables/
Todos los horarios son UTC-05:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España