+ Responder ao Tópico



  1. #1

    Padrão iptables limit

    caros amigos, nao consigo entender as regras de iptables pra barrar ataques ddos

    as regras de limit

    por exemplo:
    iptables -A INPUT -i eth1 -p tcp tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    peguei essa regra na internet mas aqueles pacotes que se enceixarem nessa regras serão aceitos, pois o target é ACCEPT!

    eu quero bloquear requisiçoes maleficas e nao aceitar!!

    por exemplo, se a pessoa me fizer um x de acessos em muito pouco tempo, caracterizando um ddos eu quero bloquear, e quanto seria esse numero x?
    até quantos pacotes por segundo seria aceitavel.
    Tenho servidor com qmail, apache, named para externos e as requisiçoes para esses serviços estariam jogando quantos pacotes por segundo no meu server?

    estou realmente sofrendo ataques ddos, tenho speedy business e ja liguei na telefonica, me mandaram entrar em contado com a telesp, que nao era problemas deles e etc, a telefonica todos ja conhecem né!

    quando eu tampo tudo com iptables e nao abro nada, meu link fica legal, porem as requisições nunca param de chegar (vejo com o iptraf) e se abro principalmente a porta do apache, ai acaba tudo!! o link cai a zero e o iptraf da piroleta!!

    me ajudem a pelo menos entender essas regras de iptables com base no tempo limite.

    obrigado a todos.
    Fernando

  2. #2
    maverick_cba
    Visitante

    Padrão iptables limit

    Amigo, essa regra tb me trouxe dor de cabeça, pois queria montar um firewall do tipo Statefull (bloqueia tudo) e acontecia que quando eu colocava essa regra tudo que passase pela chain de FORWARD era liberado, ou seja, deixava passar tudo. Ainda não consegui encaixa-la nas minhas regras sem ter que fazer uma gambiarra.

    Mas posso te dizer que essa regras quer dizer o seguinte:
    Libere todos os pcotes que chegarem na eth1 no protocolo tcp + as flags tcp com um limite de 1 pacote por segundo.

    Ou seja, se os pacotes tentarem entrar numa velocidade maior, serão barrados (caso a politica do seu firewall seja drop).

    Porem como disse anteriormente essa regra não me serviu como esperado, aliás acho que tem muita gente que usa essa regras em firewall do tipo statefull achando que tá bloquando tudo e na verdade tá é liberando tudo.

    Outra observação: outras regras de segurança genéricas como essea:
    Código :
    # Protege contra os ataques do tipo "Syn-flood, DoS, etc"
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    Libera tudo tb. Acho que isso acontece porque o iptables ao casar com essa regra passa a não processar mais o restante das regras. Daí por exemplo se eu tiver recebendo pacotes do MSN que casem com essa regra o msn passa a ser liberado, mesmo eu tendo especificado a politica padrão como drop.

    Se alguem souber como resolver isso, favor me ajudar, pois ainda não sou nenhum expert no iptables.

    Abraços,

  3. #3

    Padrão iptables limit

    Cria uma chain....

    Exemplo:

    iptables -N CONTRA_DOS
    iptables -A CONTRA_DOS -i $IF_INTERNET -p tcp tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A CONTRA_DOS -i "outras necessidades"

    E depois chama ela...

    iptables -A INPUT -p TCP -i $IF_INTERNET -d $IP_INTERNET --dport 22 -j CONTRA_DOS
    iptables -A INPUT -p TCP -i $IF_INTERNET -d $IP_INTERNET --dport 80 -j CONTRA_DOS
    iptables -P INPUT DROP

    Tem varias formas.. essa eh umá!


  4. #4
    maverick_cba
    Visitante

    Padrão iptables limit

    Interessante, ainda não tinha testado, apesar de saber como fazer.

    Vou dar uma olhada. Obrigado.

  5. #5
    felco
    Visitante

    Padrão iptables limit

    Essa regra não serve em qualquer ambiente, você precisa estudar primeiro, por isso eu digo que você tem que criar um firewall na medida, não adianta querer copiar...

    Mas se te interessa muito leia a documentação oficial do netfilter em www.netfilter.org lá tem algo explicando o -m limit é diz tambem qual é o conceito dele pra limitar, entendo como ele funciona você acaba achando uma utilidade...

  6. #6

    Padrão continuo na duvida

    ok, entendi quando nosso amigo disse que eu estaria liberando tudo aplicando aquelas regras, pelo fato de eu estar criando uma regra com o target ACCEPT e genaralizando para todas as portas!! Não é essa a intenção!! apenas citei a regra pra que alguem possa me explicar...

    o que eu preciso saber é:
    quantos pacotes por segundo eu posso considerar como um ddos?
    um acesso normal a meus sites, emails ou meu dns server, deve ser feito com uma media de quantos pacotes por segundo?
    teria diferença de um serviço para outro (acessos a paginas serem mais pacotes por segundo do que emails ou vice versa)

    e outra vou chegar em uma regra que tenha o target drop!!
    e em cima desses valores que estou perguntando vou criar regras, se necessário diferentes para cada porta, com opções de quantidades de pacotes para serem dropados.

    e vejam se estou com a sintaxe do comando certo:
    iptables -A INPUT -p tcp -m limit --limit 20/s --limit-burst 2 -j DROP
    isso faria com que quem enviar até 20 pacotes por segundo mais de duas vezes seja bloqueado.
    acredito que seja isso, porém essa regra pra mim tb nao seria a idel, pois eu iria precisar de uma regra que bloquease quem enviar mais de 20, se é que 20 seria o numero ideal!!!

    obrigado.
    Fernando.

  7. #7

    Padrão ops

    teria alguma meneira de eu testar para descobrir esse numero de pacotes por segundo ideal para meus serviços...
    ou pelo menos um numero mais ou menos se alguem souber...
    pois como estou recebendo esses ataques ddos, pelo iptraf ta foda de ver, pois é muita coisa que rola la e nao da nem pra ver de tao rapido que acontece!!!

  8. #8

    Padrão iptables limit

    depende da capacidade dos seus recursos!

    existem ataques que consemem o seu link e isso eh inevitavel bloquear... e outros que consomem recursos da maquina, como processamento!

    sofri muito com um ate de flood udp com um link de 2mb que uma empresa tinha, tive que ligar pra operadora bloquear o IP do cara. pq tava consumindo meus 2megas de download...

    outro foi com um servidor de email, o cara ficava bombando solicitações de envio de email pela porta 25, tudo bem que o smtp era autenticado, mais eram tantas solicitações ao mesmo tempo, que a cpu ficou 100% um bom tempo...

    vc vai ter que fazer varios testes ate achar um ponto ideal usando o limit do iptables!

    []´s