Ограничения входящего трафика CentOS

@Arwel · Регистрация: 04.03.2013

Студворк — интернет-сервис помощи студентам

Как ограничить количество пакетов с одного айпи? Как ограничить "вес" пакетов с одного айпи? \ udp протокол
Пробовал так \ на количество пакетов:

-A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT
-A INPUT -p udp --dport 444 -j DROP

Не помогло. Есть еще варианты?

Юзал скрипт: http://sys-admin.kz/os/nix/510-centos-p … s-dos.html - аналогично > 0 результата

-A INPUT -p udp --dport 444 -m connlimit --connlimit-above 10 -j DROP

Так тоже не помогло.
Вся пачка правил:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 444 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A INPUT -p udp --dport 444 -m connlimit --connlimit-above 10 -j DROP
COMMIT

p.s. Проверил еще раз скрипт, лил трафик в течении 2-ух минут - бана не было, пробовал как дефолт + iptables, так и разлиные дополнения с мануалов.

~~Dr_Quake~~ · 29.03.2014, 16:16

ratelimit UDP?! connlimit UDP?! Сам то понял что сказал? Бред получится при лимитинге, а уж трекинг сессий UDP...

@Arwel · 29.03.2014, 16:39 **[ТС]**

Как правильно реализовать?
С Iptables не дружу.

Теоретически первое правило должно работать. Что в нем не так?
Речь о:

-A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT
-A INPUT -p udp --dport 444 -j DROP

~~Dr_Quake~~ · 29.03.2014, 16:47

1. У UDP нету сессий. Некое подобие можно трекить через SRC/DST-PORT, но никак не одновременно если с того же клиентского порта.
2. UDP нельзя дропать по лимиту скорости, равно как и задерживать культурно. Лимитить можно только по рейту пакетов и только то, что не выходит в полной сессии за 1 пакет в духе syslog.

@Arwel · 29.03.2014, 17:07 **[ТС]**

Лимитить можно только по рейту пакетов и только то

Что я и пытаюсь делать.

~~Dr_Quake~~ · 29.03.2014, 17:28

В таком виде для начала burst убрать - неясно так как иначально что за протокол итд, хэш srcip,dstport

@Arwel · 29.03.2014, 17:42 **[ТС]**

Поправил немного правило:

-A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-mode dstip --hashlimit-name TEST -j ACCEPT
-A INPUT -p udp --dport 444 -j DROP

Все верно?

~~Dr_Quake~~ · 29.03.2014, 17:51

Ну, это будет всем лимит вообще, как-то не очень. В теории должно работать, на практике чёрт его знает, проверить не на чем сейчас, я даже syslog в таких количествах не гоняю.

@Arwel · 29.03.2014, 18:05 **[ТС]**

Собственно проверил - не работает.
Тогда так:

-A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/second --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT
-A INPUT -p udp --dport 444 -j DROP

Айпи + порт.
Хотя правило должно работать %)

~~Dr_Quake~~ · 29.03.2014, 18:10

Прогнал у себя - работает с OUTPUT, неясно почему с INPUT не пашет, но я пока ещё не заморачивался детальным изучением iptables, хватает ipfw/pf

@Arwel · 29.03.2014, 18:16 **[ТС]**

работает с OUTPUT

Можно правило?

~~Dr_Quake~~ · 29.03.2014, 18:19

Да те же правила, chain смени на OUTPUT вместо INPUT. Я с этим уже встречался, но даже маны ещё не копал почему так.

Добавлено через 55 секунд
P.S. И выучи диагностику хотя бы на уровне iptables -Lv , тупо 0 вхождений на INPUT.

@Arwel · 29.03.2014, 18:27 **[ТС]**

тупо 0 вхождений на INPUT.

Теоретически из-за:
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

P.S. И выучи диагностику хотя бы на уровне iptables -Lv , тупо 0 вхождений на INPUT.

Cпасибо, погуглю.

Да те же правила, chain смени на OUTPUT вместо INPUT.

Пробовал менять INPUT на OUTPUT - 0 реакции

~~Dr_Quake~~ · 29.03.2014, 18:27

P.S. Это для исходящих пашет на примере DNS(косяк - забыл dport на sport поменять в примере), для входящих аналогично на INPUT пашет твой пример в оригинальном виде как положено, так что я не понимаю какие у тебя проблемы.

Возможно где-то ещё косяки. Дампи трафик, сравнивай с вхождениями правил iptables.

@Arwel · 29.03.2014, 18:29 **[ТС]**

так что я не понимаю какие у тебя проблемы.

Не ограничиваются входящие пакеты - трафик "заваливается" без ограничения, по 2 к с одного айпи.

~~Dr_Quake~~ · 29.03.2014, 18:30

А, ну да. У тебя правила в духе conntrack проходят РАНЬШЕ чем твой дроп. Поставь свои правила на udp limit первыми в цепочке. Но всё-таки в скобках [0:0] наводят на мысль что это было на чистом pc сразу после iptables-restore, смотри ещё раз по статистике iptables -vL и ещё раз первое предложение/

@Arwel · 29.03.2014, 18:51 **[ТС]**

Я конечно немного запутался, но...
Список правил на сейчас:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A OUTPUT -p udp --dport 444 -j DROP
-A OUTPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport 444 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

COMMIT

Насчет "соотношения [0:0]" - теоретически это называется так, то у меня дефолт.

~~Dr_Quake~~ · 29.03.2014, 18:57

У тебя то всё-таки INPUT, я же написал что накосячил на проверке.

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p udp --dport 444 -j DROP
-A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport 444 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

COMMIT

@Arwel · 29.03.2014, 19:00 **[ТС]**

Так я тоже пробовал - не работает.

~~Dr_Quake~~ · 29.03.2014, 19:29

Это как? Считается?

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 18:16 [ТС]	11
	работает с OUTPUT Можно правило? 0

~~Dr_Quake~~ Заблокирован
	29.03.2014, 18:19	12
	Да те же правила, chain смени на OUTPUT вместо INPUT. Я с этим уже встречался, но даже маны ещё не копал почему так. Добавлено через 55 секунд P.S. И выучи диагностику хотя бы на уровне iptables -Lv , тупо 0 вхождений на INPUT. 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 18:29 [ТС]	15
	так что я не понимаю какие у тебя проблемы. Не ограничиваются входящие пакеты - трафик "заваливается" без ограничения, по 2 к с одного айпи. 0

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
		1
	Ограничения входящего трафика CentOS 29.03.2014, 15:29. Показов 4349. Ответов 43 Метки нет (Все метки) Как ограничить количество пакетов с одного айпи? Как ограничить "вес" пакетов с одного айпи? \ udp протокол Пробовал так \ на количество пакетов: -A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT -A INPUT -p udp --dport 444 -j DROP Не помогло. Есть еще варианты? Юзал скрипт: http://sys-admin.kz/os/nix/510-centos-p … s-dos.html - аналогично > 0 результата -A INPUT -p udp --dport 444 -m connlimit --connlimit-above 10 -j DROP Так тоже не помогло. Вся пачка правил: # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 444 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT -A INPUT -p udp --dport 444 -m connlimit --connlimit-above 10 -j DROP COMMIT p.s. Проверил еще раз скрипт, лил трафик в течении 2-ух минут - бана не было, пробовал как дефолт + iptables, так и разлиные дополнения с мануалов. 0

~~Dr_Quake~~ Заблокирован
	29.03.2014, 16:16	2
	ratelimit UDP?! connlimit UDP?! Сам то понял что сказал? Бред получится при лимитинге, а уж трекинг сессий UDP... 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 16:39 [ТС]	3
	Как правильно реализовать? С Iptables не дружу. Теоретически первое правило должно работать. Что в нем не так? Речь о: -A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT -A INPUT -p udp --dport 444 -j DROP 0

~~Dr_Quake~~ Заблокирован
	29.03.2014, 16:47	4
	1. У UDP нету сессий. Некое подобие можно трекить через SRC/DST-PORT, но никак не одновременно если с того же клиентского порта. 2. UDP нельзя дропать по лимиту скорости, равно как и задерживать культурно. Лимитить можно только по рейту пакетов и только то, что не выходит в полной сессии за 1 пакет в духе syslog. 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 17:07 [ТС]	5
	Лимитить можно только по рейту пакетов и только то Что я и пытаюсь делать. 0

~~Dr_Quake~~ Заблокирован
	29.03.2014, 17:28	6
	В таком виде для начала burst убрать - неясно так как иначально что за протокол итд, хэш srcip,dstport 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 17:42 [ТС]	7
	Поправил немного правило: -A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-mode dstip --hashlimit-name TEST -j ACCEPT -A INPUT -p udp --dport 444 -j DROP Все верно? 0

~~Dr_Quake~~ Заблокирован
	29.03.2014, 17:51	8
	Ну, это будет всем лимит вообще, как-то не очень. В теории должно работать, на практике чёрт его знает, проверить не на чем сейчас, я даже syslog в таких количествах не гоняю. 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 18:05 [ТС]	9
	Собственно проверил - не работает. Тогда так: -A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/second --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT -A INPUT -p udp --dport 444 -j DROP Айпи + порт. Хотя правило должно работать %) 0

~~Dr_Quake~~ Заблокирован
	29.03.2014, 18:10	10
	Прогнал у себя - работает с OUTPUT, неясно почему с INPUT не пашет, но я пока ещё не заморачивался детальным изучением iptables, хватает ipfw/pf 1

	29.03.2014, 19:29

Опции темы

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 18:27 [ТС]	13
	тупо 0 вхождений на INPUT. Теоретически из-за: :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] P.S. И выучи диагностику хотя бы на уровне iptables -Lv , тупо 0 вхождений на INPUT. Cпасибо, погуглю. Да те же правила, chain смени на OUTPUT вместо INPUT. Пробовал менять INPUT на OUTPUT - 0 реакции 0

~~Dr_Quake~~ Заблокирован
	29.03.2014, 18:27	14
	P.S. Это для исходящих пашет на примере DNS(косяк - забыл dport на sport поменять в примере), для входящих аналогично на INPUT пашет твой пример в оригинальном виде как положено, так что я не понимаю какие у тебя проблемы. Возможно где-то ещё косяки. Дампи трафик, сравнивай с вхождениями правил iptables. 1

~~Dr_Quake~~ Заблокирован
	29.03.2014, 18:30	16
	А, ну да. У тебя правила в духе conntrack проходят РАНЬШЕ чем твой дроп. Поставь свои правила на udp limit первыми в цепочке. Но всё-таки в скобках [0:0] наводят на мысль что это было на чистом pc сразу после iptables-restore, смотри ещё раз по статистике iptables -vL и ещё раз первое предложение/ 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 18:51 [ТС]	17
	Я конечно немного запутался, но... Список правил на сейчас: # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A OUTPUT -p udp --dport 444 -j DROP -A OUTPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 444 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT COMMIT Насчет "соотношения [0:0]" - теоретически это называется так, то у меня дефолт. Миниатюры 0

~~Dr_Quake~~ Заблокирован
	29.03.2014, 18:57	18
	У тебя то всё-таки INPUT, я же написал что накосячил на проверке. # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p udp --dport 444 -j DROP -A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 444 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT COMMIT 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	29.03.2014, 19:00 [ТС]	19
	Так я тоже пробовал - не работает. 0

~~Dr_Quake~~ Заблокирован
	29.03.2014, 19:29	20
	Это как? Считается? 0