Ограничения входящего трафика CentOS

@Arwel · Регистрация: 04.03.2013

Студворк — интернет-сервис помощи студентам

Как ограничить количество пакетов с одного айпи? Как ограничить "вес" пакетов с одного айпи? \ udp протокол
Пробовал так \ на количество пакетов:

-A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT
-A INPUT -p udp --dport 444 -j DROP

Не помогло. Есть еще варианты?

Юзал скрипт: http://sys-admin.kz/os/nix/510-centos-p … s-dos.html - аналогично > 0 результата

-A INPUT -p udp --dport 444 -m connlimit --connlimit-above 10 -j DROP

Так тоже не помогло.
Вся пачка правил:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 444 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A INPUT -p udp --dport 444 -m connlimit --connlimit-above 10 -j DROP
COMMIT

p.s. Проверил еще раз скрипт, лил трафик в течении 2-ух минут - бана не было, пробовал как дефолт + iptables, так и разлиные дополнения с мануалов.

@Arwel · 29.03.2014, 19:40 **[ТС]**

По сути дроп должен стоять после лимитов, хотя это тоже не работает(то есть трафик без проблем проходит).

Добавлено через 7 минут
Если что, то я юзаю список правил из Вашего поста.

Dr_Quake · 29.03.2014, 19:55

Список то где с текущим? iptables -vL

@Arwel · 29.03.2014, 20:02 **[ТС]**

Dr_Quake · 29.03.2014, 20:04

У тебя мозг где? Ты правила местами поменял - всё идёт на DROP. Это не IPFW с номерами, тут порядок как добавил - так и будет.

@Arwel · 29.03.2014, 20:14 **[ТС]**

Как было в твоем посте, так я и сделал.

Добавлено через 3 минуты
Даже с учетом этого - в дроп ничего не идет. +

По сути дроп должен стоять после лимитов, хотя это тоже не работает

Dr_Quake · 29.03.2014, 20:29

Да, точно, извиняюсь. Но в дроп ничего не может не идти - у тебя 96M, 20k пакетов дропнуты, туда вообще в таком виде ничего не должно идти. Может у тебя ещё и сам хост себе шлёт что-то? Самого себя трафик INPUT не проходит. Для себя надо ещё и в OUTPUT в dstport ставить то же.

@Arwel · 29.03.2014, 20:32 **[ТС]**

Отправляю 1000 пакетов\сек, весом 4500 байт каждый. Я даже по 3 к пакетов закидывал.
Возможно я где-то туплю, т.к. с Iptables работаю впервые. p.s. добавил dstport. Проверил еще раз - не помогло.

@Arwel · 29.03.2014, 20:49 **[ТС]**

Теоретически правило должно отсеивать 100% всех пакетов, т.к. в документации речи о % не было.

Dr_Quake · 29.03.2014, 22:13

Откуда отправляешь? С себя же что ли?

@Arwel · 29.03.2014, 23:00 **[ТС]**

Конечно нет.
У сервера своя сеть, у ПК своя.

Dr_Quake · 29.03.2014, 23:48

По статистике оно на 100% отсеивает - ты сам же смотрел. Дело тут в том что ты криво смотришь или иным способом проходит, udp первый вариант правил с drop отсеивает на 100% без вариантов. Я думаю телепатически что ты банально смотришь трафик tcpdump(который идёт мимо iptables по сути т.к. promisc) или твой софт ещё что принимает вроде такого же TCP параллельно.

@Arwel · 30.03.2014, 00:05 **[ТС]**

Хорошо, чем тогда проверить можно?
Юзаю это: http://rghost.ru/50139305

Dr_Quake · 30.03.2014, 00:51

При чём тут флудер? Сгенерировать и так можно поток UDP. Протокол и ПРИНИМАЮЩИЙ софт какой который слушает твой 444?

@Arwel · 30.03.2014, 01:05 **[ТС]**

Протокол и ПРИНИМАЮЩИЙ софт какой который слушает твой 444?

Все UDP

При чём тут флудер?

А при том, что правила подгоняются под него\них, ибо посылается с одного айпи куча пакетов большого веса(не всегда).
Задача: ограничить количество входящих соединений с одного айпи.

Dr_Quake · 30.03.2014, 01:19

Я лично ничего не понимаю тогда в том что ты творишь. Но уже точно ясно что ты творишь что-то не то. Ни методики измерений, ни проверок, ни цели...

@Arwel · 30.03.2014, 10:21 **[ТС]**

Никаких глобальностей нет.
udp флудер, udp протокол, udp правила на ограничения входящих пакетов, iptraf с мониторингом udp пакетов.
Задача: ограничить количество входящих соединений с одного айпи для udp протокола.

Dr_Quake · 30.03.2014, 14:34

Ещё раз - нету соединений в UDP. Ограничение количества пакетов у тебя уже работает, проверяй что не так с методикой тестирования.

@Arwel · 30.03.2014, 15:53 **[ТС]**

Я вот только одного не понимаю, почему "атакующий" айпи не банится?
Все вроде верно

-A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-mode srcip,dstport --hashlimit-name TEST -j ACCEPT
-A INPUT -p udp --dport 444 -j DROP

Dr_Quake · 30.03.2014, 15:57

Банится??? Ты вообще про что?

@Arwel · 30.03.2014, 16:03 **[ТС]**

Разве -j DROP это не "бан"?

Новые блоги и статьи Все статьи Все блоги /
Благородство как наказание Maks 24.04.2026 У хорошего человека отношения с женщинами всегда складываются трудно. А я человек хороший. Заявляю без тени смущения, потому что гордиться тут нечем. От хорошего человека ждут соответствующего. . .	Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .
Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 19:40 [ТС]
	По сути дроп должен стоять после лимитов, хотя это тоже не работает(то есть трафик без проблем проходит). Добавлено через 7 минут Если что, то я юзаю список правил из Вашего поста. 0

Dr_Quake Заблокирован
	29.03.2014, 19:55
	Список то где с текущим? iptables -vL 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 20:02 [ТС]
	0

Dr_Quake Заблокирован
	29.03.2014, 20:04
	У тебя мозг где? Ты правила местами поменял - всё идёт на DROP. Это не IPFW с номерами, тут порядок как добавил - так и будет. 1

Dr_Quake Заблокирован
	29.03.2014, 20:29
	Да, точно, извиняюсь. Но в дроп ничего не может не идти - у тебя 96M, 20k пакетов дропнуты, туда вообще в таком виде ничего не должно идти. Может у тебя ещё и сам хост себе шлёт что-то? Самого себя трафик INPUT не проходит. Для себя надо ещё и в OUTPUT в dstport ставить то же. 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 20:32 [ТС]
	Отправляю 1000 пакетов\сек, весом 4500 байт каждый. Я даже по 3 к пакетов закидывал. Возможно я где-то туплю, т.к. с Iptables работаю впервые. p.s. добавил dstport. Проверил еще раз - не помогло. Миниатюры 0

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 20:49 [ТС]
	Теоретически правило должно отсеивать 100% всех пакетов, т.к. в документации речи о % не было. 0

Dr_Quake Заблокирован
	29.03.2014, 22:13
	Откуда отправляешь? С себя же что ли? 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 23:00 [ТС]
	Конечно нет. У сервера своя сеть, у ПК своя. 0

Dr_Quake Заблокирован
	29.03.2014, 23:48
	По статистике оно на 100% отсеивает - ты сам же смотрел. Дело тут в том что ты криво смотришь или иным способом проходит, udp первый вариант правил с drop отсеивает на 100% без вариантов. Я думаю телепатически что ты банально смотришь трафик tcpdump(который идёт мимо iptables по сути т.к. promisc) или твой софт ещё что принимает вроде такого же TCP параллельно. 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	30.03.2014, 00:05 [ТС]
	Хорошо, чем тогда проверить можно? Юзаю это: http://rghost.ru/50139305 0

Dr_Quake Заблокирован
	30.03.2014, 00:51
	При чём тут флудер? Сгенерировать и так можно поток UDP. Протокол и ПРИНИМАЮЩИЙ софт какой который слушает твой 444? 1

Dr_Quake Заблокирован
	30.03.2014, 01:19
	Я лично ничего не понимаю тогда в том что ты творишь. Но уже точно ясно что ты творишь что-то не то. Ни методики измерений, ни проверок, ни цели... 0

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	30.03.2014, 10:21 [ТС]
	Никаких глобальностей нет. udp флудер, udp протокол, udp правила на ограничения входящих пакетов, iptraf с мониторингом udp пакетов. Задача: ограничить количество входящих соединений с одного айпи для udp протокола. 0

Dr_Quake Заблокирован
	30.03.2014, 14:34
	Ещё раз - нету соединений в UDP. Ограничение количества пакетов у тебя уже работает, проверяй что не так с методикой тестирования. 1

Dr_Quake Заблокирован
	30.03.2014, 15:57
	Банится??? Ты вообще про что? 0

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	30.03.2014, 16:03 [ТС]
	Разве -j DROP это не "бан"? 0