Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão iptables limit

    caros amigos, nao consigo entender as regras de iptables pra barrar ataques ddos

    as regras de limit

    por exemplo:
    iptables -A INPUT -i eth1 -p tcp tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    peguei essa regra na internet mas aqueles pacotes que se enceixarem nessa regras serão aceitos, pois o target é ACCEPT!

    eu quero bloquear requisiçoes maleficas e nao aceitar!!

    por exemplo, se a pessoa me fizer um x de acessos em muito pouco tempo, caracterizando um ddos eu quero bloquear, e quanto seria esse numero x?
    até quantos pacotes por segundo seria aceitavel.
    Tenho servidor com qmail, apache, named para externos e as requisiçoes para esses serviços estariam jogando quantos pacotes por segundo no meu server?

    estou realmente sofrendo ataques ddos, tenho speedy business e ja liguei na telefonica, me mandaram entrar em contado com a telesp, que nao era problemas deles e etc, a telefonica todos ja conhecem né!

    quando eu tampo tudo com iptables e nao abro nada, meu link fica legal, porem as requisições nunca param de chegar (vejo com o iptraf) e se abro principalmente a porta do apache, ai acaba tudo!! o link cai a zero e o iptraf da piroleta!!

    me ajudem a pelo menos entender essas regras de iptables com base no tempo limite.

    obrigado a todos.
    Fernando

  2. #2
    maverick_cba
    Visitante

    Padrão iptables limit

    Amigo, essa regra tb me trouxe dor de cabeça, pois queria montar um firewall do tipo Statefull (bloqueia tudo) e acontecia que quando eu colocava essa regra tudo que passase pela chain de FORWARD era liberado, ou seja, deixava passar tudo. Ainda não consegui encaixa-la nas minhas regras sem ter que fazer uma gambiarra.

    Mas posso te dizer que essa regras quer dizer o seguinte:
    Libere todos os pcotes que chegarem na eth1 no protocolo tcp + as flags tcp com um limite de 1 pacote por segundo.

    Ou seja, se os pacotes tentarem entrar numa velocidade maior, serão barrados (caso a politica do seu firewall seja drop).

    Porem como disse anteriormente essa regra não me serviu como esperado, aliás acho que tem muita gente que usa essa regras em firewall do tipo statefull achando que tá bloquando tudo e na verdade tá é liberando tudo.

    Outra observação: outras regras de segurança genéricas como essea:
    Código :
    # Protege contra os ataques do tipo "Syn-flood, DoS, etc"
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    Libera tudo tb. Acho que isso acontece porque o iptables ao casar com essa regra passa a não processar mais o restante das regras. Daí por exemplo se eu tiver recebendo pacotes do MSN que casem com essa regra o msn passa a ser liberado, mesmo eu tendo especificado a politica padrão como drop.

    Se alguem souber como resolver isso, favor me ajudar, pois ainda não sou nenhum expert no iptables.

    Abraços,



  3. #3

    Padrão iptables limit

    Cria uma chain....

    Exemplo:

    iptables -N CONTRA_DOS
    iptables -A CONTRA_DOS -i $IF_INTERNET -p tcp tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A CONTRA_DOS -i "outras necessidades"

    E depois chama ela...

    iptables -A INPUT -p TCP -i $IF_INTERNET -d $IP_INTERNET --dport 22 -j CONTRA_DOS
    iptables -A INPUT -p TCP -i $IF_INTERNET -d $IP_INTERNET --dport 80 -j CONTRA_DOS
    iptables -P INPUT DROP

    Tem varias formas.. essa eh umá!


  4. #4
    maverick_cba
    Visitante

    Padrão iptables limit

    Interessante, ainda não tinha testado, apesar de saber como fazer.

    Vou dar uma olhada. Obrigado.



  5. #5
    felco
    Visitante

    Padrão iptables limit

    Essa regra não serve em qualquer ambiente, você precisa estudar primeiro, por isso eu digo que você tem que criar um firewall na medida, não adianta querer copiar...

    Mas se te interessa muito leia a documentação oficial do netfilter em www.netfilter.org lá tem algo explicando o -m limit é diz tambem qual é o conceito dele pra limitar, entendo como ele funciona você acaba achando uma utilidade...

  6. #6

    Padrão continuo na duvida

    ok, entendi quando nosso amigo disse que eu estaria liberando tudo aplicando aquelas regras, pelo fato de eu estar criando uma regra com o target ACCEPT e genaralizando para todas as portas!! Não é essa a intenção!! apenas citei a regra pra que alguem possa me explicar...

    o que eu preciso saber é:
    quantos pacotes por segundo eu posso considerar como um ddos?
    um acesso normal a meus sites, emails ou meu dns server, deve ser feito com uma media de quantos pacotes por segundo?
    teria diferença de um serviço para outro (acessos a paginas serem mais pacotes por segundo do que emails ou vice versa)

    e outra vou chegar em uma regra que tenha o target drop!!
    e em cima desses valores que estou perguntando vou criar regras, se necessário diferentes para cada porta, com opções de quantidades de pacotes para serem dropados.

    e vejam se estou com a sintaxe do comando certo:
    iptables -A INPUT -p tcp -m limit --limit 20/s --limit-burst 2 -j DROP
    isso faria com que quem enviar até 20 pacotes por segundo mais de duas vezes seja bloqueado.
    acredito que seja isso, porém essa regra pra mim tb nao seria a idel, pois eu iria precisar de uma regra que bloquease quem enviar mais de 20, se é que 20 seria o numero ideal!!!

    obrigado.
    Fernando.