Ограничения входящего трафика CentOS

@Arwel · Регистрация: 04.03.2013

Студворк — интернет-сервис помощи студентам

Как ограничить количество пакетов с одного айпи? Как ограничить "вес" пакетов с одного айпи? \ udp протокол
Пробовал так \ на количество пакетов:

-A INPUT -p udp --dport 444 -m hashlimit --hashlimit 1/s --hashlimit-burst 5 --hashlimit-mode srcip,srcport --hashlimit-name TEST -j ACCEPT
-A INPUT -p udp --dport 444 -j DROP

Не помогло. Есть еще варианты?

Юзал скрипт: http://sys-admin.kz/os/nix/510-centos-p … s-dos.html - аналогично > 0 результата

-A INPUT -p udp --dport 444 -m connlimit --connlimit-above 10 -j DROP

Так тоже не помогло.
Вся пачка правил:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 444 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A INPUT -p udp --dport 444 -m connlimit --connlimit-above 10 -j DROP
COMMIT

p.s. Проверил еще раз скрипт, лил трафик в течении 2-ух минут - бана не было, пробовал как дефолт + iptables, так и разлиные дополнения с мануалов.

Dr_Quake · 30.03.2014, 16:06

Drop это drop. Прямой перевод в данном месте - отбросить, всё что больше заданного рейта идёт в никуда. Банить по аналогии с SSH итд надо совершенно по другому.

@Arwel · 30.03.2014, 22:32 **[ТС]**

Можно пример?
К сожалению за все время я даже набросков при себе не имею, все, что гуглил - все "баны" через дроп.

Dr_Quake · 30.03.2014, 22:36

Тут у меня идей про iptables нету, я маршрутизаторы на freebsd держу. Но от файра требуется либо писать логи а-ля pflog, или пересылать пакеты tee на твой сокет параллельного демона который считает пакеты и пишет свои правила бана в таблицу файрвола.

@Arwel · 02.04.2014, 14:23 **[ТС]**

Правила сейчас примерно такие:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

# Начало фильтра
# Создаем цепочки POP3 attack
-N POP3_CHECK
-N POP3_ATTACKED
# Захватываем POP3-соединение
-A INPUT -p udp --dport 444 -j POP3_CHECK
# Определяем цепочку POP3_CHECK
-A POP3_CHECK -m recent --set --name POP3
-A POP3_CHECK -m recent --update --seconds 10 --hitcount 2 --name POP3 -j POP3_ATTACKED
-A POP3_CHECK -j ACCEPT
# Определяем цепочку POP3_ATTACKED
-A POP3_ATTACKED -j LOG --log-prefix "iptables POP3 attack: "
-A POP3_ATTACKED -j REJECT --reject-with icmp-host-unreachable
# Конец фильтра

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
COMMIT

Изначально все работало нормально, резало 90% входящего трафика. Потом где-то допустил ошибку ну и трафик обратно полноценно проходит.
В чем проблема?

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

Dr_Quake Заблокирован
	30.03.2014, 16:06
	Сообщение было отмечено Arwel как решение Решение Drop это drop. Прямой перевод в данном месте - отбросить, всё что больше заданного рейта идёт в никуда. Банить по аналогии с SSH итд надо совершенно по другому. 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	30.03.2014, 22:32 [ТС]
	Можно пример? К сожалению за все время я даже набросков при себе не имею, все, что гуглил - все "баны" через дроп. 0

Dr_Quake Заблокирован
	30.03.2014, 22:36
	Тут у меня идей про iptables нету, я маршрутизаторы на freebsd держу. Но от файра требуется либо писать логи а-ля pflog, или пересылать пакеты tee на твой сокет параллельного демона который считает пакеты и пишет свои правила бана в таблицу файрвола. 1

Ограничения входящего трафика CentOS

Решение