Tópico: iptables limit

Amigo, essa regra tb me trouxe dor de cabeça, pois queria montar um firewall do tipo Statefull (bloqueia tudo) e acontecia que quando eu colocava essa regra tudo que passase pela chain de FORWARD era liberado, ou seja, deixava passar tudo. Ainda não consegui encaixa-la nas minhas regras sem ter que fazer uma gambiarra.

Mas posso te dizer que essa regras quer dizer o seguinte:
Libere todos os pcotes que chegarem na eth1 no protocolo tcp + as flags tcp com um limite de 1 pacote por segundo.

Ou seja, se os pacotes tentarem entrar numa velocidade maior, serão barrados (caso a politica do seu firewall seja drop).

Porem como disse anteriormente essa regra não me serviu como esperado, aliás acho que tem muita gente que usa essa regras em firewall do tipo statefull achando que tá bloquando tudo e na verdade tá é liberando tudo.

Outra observação: outras regras de segurança genéricas como essea:

Código:

# Protege contra os ataques do tipo "Syn-flood, DoS, etc"
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

Libera tudo tb. Acho que isso acontece porque o iptables ao casar com essa regra passa a não processar mais o restante das regras. Daí por exemplo se eu tiver recebendo pacotes do MSN que casem com essa regra o msn passa a ser liberado, mesmo eu tendo especificado a politica padrão como drop.

Se alguem souber como resolver isso, favor me ajudar, pois ainda não sou nenhum expert no iptables.

Abraços,

Cria uma chain....

Exemplo:

iptables -N CONTRA_DOS
iptables -A CONTRA_DOS -i $IF_INTERNET -p tcp tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A CONTRA_DOS -i "outras necessidades"

E depois chama ela...

iptables -A INPUT -p TCP -i $IF_INTERNET -d $IP_INTERNET --dport 22 -j CONTRA_DOS
iptables -A INPUT -p TCP -i $IF_INTERNET -d $IP_INTERNET --dport 80 -j CONTRA_DOS
iptables -P INPUT DROP

Tem varias formas.. essa eh umá!

Interessante, ainda não tinha testado, apesar de saber como fazer.

Vou dar uma olhada. Obrigado.

Essa regra não serve em qualquer ambiente, você precisa estudar primeiro, por isso eu digo que você tem que criar um firewall na medida, não adianta querer copiar...

Mas se te interessa muito leia a documentação oficial do netfilter em www.netfilter.org lá tem algo explicando o -m limit é diz tambem qual é o conceito dele pra limitar, entendo como ele funciona você acaba achando uma utilidade...

ok, entendi quando nosso amigo disse que eu estaria liberando tudo aplicando aquelas regras, pelo fato de eu estar criando uma regra com o target ACCEPT e genaralizando para todas as portas!! Não é essa a intenção!! apenas citei a regra pra que alguem possa me explicar...

o que eu preciso saber é:
quantos pacotes por segundo eu posso considerar como um ddos?
um acesso normal a meus sites, emails ou meu dns server, deve ser feito com uma media de quantos pacotes por segundo?
teria diferença de um serviço para outro (acessos a paginas serem mais pacotes por segundo do que emails ou vice versa)

e outra vou chegar em uma regra que tenha o target drop!!
e em cima desses valores que estou perguntando vou criar regras, se necessário diferentes para cada porta, com opções de quantidades de pacotes para serem dropados.

e vejam se estou com a sintaxe do comando certo:
iptables -A INPUT -p tcp -m limit --limit 20/s --limit-burst 2 -j DROP
isso faria com que quem enviar até 20 pacotes por segundo mais de duas vezes seja bloqueado.
acredito que seja isso, porém essa regra pra mim tb nao seria a idel, pois eu iria precisar de uma regra que bloquease quem enviar mais de 20, se é que 20 seria o numero ideal!!!

obrigado.
Fernando.

teria alguma meneira de eu testar para descobrir esse numero de pacotes por segundo ideal para meus serviços...
ou pelo menos um numero mais ou menos se alguem souber...
pois como estou recebendo esses ataques ddos, pelo iptraf ta foda de ver, pois é muita coisa que rola la e nao da nem pra ver de tao rapido que acontece!!!

depende da capacidade dos seus recursos!

existem ataques que consemem o seu link e isso eh inevitavel bloquear... e outros que consomem recursos da maquina, como processamento!

sofri muito com um ate de flood udp com um link de 2mb que uma empresa tinha, tive que ligar pra operadora bloquear o IP do cara. pq tava consumindo meus 2megas de download...

outro foi com um servidor de email, o cara ficava bombando solicitações de envio de email pela porta 25, tudo bem que o smtp era autenticado, mais eram tantas solicitações ao mesmo tempo, que a cpu ficou 100% um bom tempo...

vc vai ter que fazer varios testes ate achar um ponto ideal usando o limit do iptables!

[]´s