Author |
Message |
|
Post subject: Filtrovanie prilis vysokeho poctu packetov
Posted: 21.10.2004 - 19:48 #12356
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
Potreboval by som pomocov iptables urobit nejaky filter, ktory zabrani tomu, aby z jednej IP odchadzalo viac ako 5 packetov za sekundu (hlavne ked je komp zavireny)
nasiel som nieco taketo
iptables -N syn_flood
iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A syn_flood -j DROP
ale neviem ci je to prave orechove, poprosim nejake koments, pripadne zlepsenia
dik |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 21.10.2004 - 20:50 #12359
|
|
Basic
Joined: Jún 21, 2004
Posts: 69
Location: Nove Zamky
|
|
imho toto limituje pocet spojeni ni pocet paketov za s |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 21.10.2004 - 20:52 #12361
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
Toto limituje pocet paketov so SYN flagom cize je mozne obmedzit pocet spojeni ale len pri TCP protokole, UDP protokolu sa to netyka ... Navyse to neznamena 5 paketov za sekundu ale 1 paket za sekundu s tym ze v spicke to dovoli 5.
Pokial to chces natvrdo 5 paketov z jednej IP za sekundu tak to uprav takto :
iptables -A INPUT -i eth0 -s 192.168.1.10 -m limit --limit 5/s --limit-burst 5 -j ACCEPT
a tiez
iptables -A FORWARD -i eth0 -s 192.168.1.10 -m limit --limit 5/s --limit-burst 5 -j ACCEPT
V kazdom pripade ale 5 paketov za sekundu je malo |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 23.10.2004 - 09:09 #12395
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
jedna sa mi o to, ze ked ma niekto zavireny komp, tak dokaze poslat 50 - 200 pckts za sekundu
chcel by som aby sa tie packety nedostali dalej ako po router, nehovoriac o tom, ze ked sa niekto pokusa floodovat |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 25.10.2004 - 23:50 #12422
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
mozete mi vysvetlit preco sa neda obmedzit posielanie udp packetov z konkretnej IP na max. pocet, tak ako je to pri tcp? |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 25.10.2004 - 23:58 #12423
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
Pocet paketov (za sekundu) obmedzit mozes, rovnako ako pri TCP (paket ako paket v tomto pripade), pocet spojeni uz ale nie (pri UDP), pretoze UDP protokol pojem spojenie nepozna ... |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 26.10.2004 - 08:01 #12430
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
aka je vyhoda pri obmedzeni spojeni oproti poctu packetov?
toto ak sa nemylim je jednoduche obmedzenie poctu packetov
iptables -A FORWARD -i eth0 -s 192.168.1.10 -m limit --limit 5/s --limit-burst 5 -j ACCEPT
a toto by malo byt spojeni
iptables -N syn_flood
iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A syn_flood -j DROP
je tak? |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 27.10.2004 - 02:21 #12457
|
|
Guru
Joined: Feb 19, 2003
Posts: 1133
Location: blizko Trencina
|
|
vyhoda ci nevyhoda? to co potrebujes to pouzijes..
cez obmedzovanie poctu spojeni si viem predstavit napr. to, ze zakazes napr. z jednej ipcky sosat paralelne 2 fajly ked oba dosiahnu nejaku velkost (obmedzovanie poctu spojeni som nepouzil ani nestudoval, teda sorry ak to v skutocnosti neni mozne .. ale malo by to ist cez connbytes a nasledne cez connlimit ci ako sa to vola)
obmedzenie poctu paketov si viem predstavit akurat tak pre UDP alebo ICMP. Pri tcp je zrejme shaping rozumnejsi |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 27.10.2004 - 20:38 #12477
|
|
Basic
Joined: Jún 09, 2004
Posts: 22
|
|
da sa toto pouzit ako trafic shaper? |
|
|
|
|
|
|
Post subject: to tazko
Posted: 27.10.2004 - 23:06 #12481
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
to tazko |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 27.10.2004 - 23:59 #12483
|
|
Majster
Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
|
|
mgx: preco, da... vies aku mozes mat maximalnu velkost packetov, vies kolko ich maximalne za sekundu pustis, ked to prenasobis, mas maximalny traffic co sa s tym da spravit |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 28.10.2004 - 00:01 #12485
|
|
Basic
Joined: Jún 09, 2004
Posts: 22
|
|
no tak nejako som to myslel |
|
|
|
|
|
|
Post subject: traffic shaper
Posted: 28.10.2004 - 21:46 #12496
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
jasne, ak by si v nejakom pomere presne nastavil, kolko packets/sek prejde pre urcite zariadenie, mozes tym nastavit priepustnost (bandwith management), ale to je zial vsetko.
Shaper by tak podla definicie urcite vznikol, pretoze by si obmedzil vytazenie urciteho zdroja, ale ma to oproti specializovanym packetovym schedulerom nejaku vyhodu? |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 29.10.2004 - 00:30 #12497
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
podla mna je nezmyselne sa natahovat o shapingu pomocou limitovania poctu packetov.
Skor by ma zaujimalo, ze ake mozu byt priciny toho, ze napriek aplikacii
iptables -A FORWARD -i wlan0 -s 10.203.1.107 -m limit --limit 15/s --limit-burst 20 -j ACCEPT
kde wlan0 je vstupny interface (AP) pre klienta, nedochadza k znizeniu mnozstva packetov prechadzajucich routrom |
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 29.10.2004 - 00:47 #12498
|
|
Site Admin
Joined: Dec 23, 2002
Posts: 910
Location: Zvolen
|
|
Hi,
jedná sa ti o zavírené počítače ?
trošku odveci ale predsa:
prečo ho rovno nevypneš na routri a budeš mať pokoj ?
No as pýtam sa teraz ja: ))
Ked DROPnem usera na routri potrebujem do IPTABLEs dopísať riadok, ktorý sice drpne všetko ale predsa usra keď použije nejaký prehliadač odpálkuje na moj WEB server a tam bude nejaký oznam (napr. máte zavírený comp, nezaplatili ste atď ) hod te sem please nejaký riadok jak to má vyzerať, dík.
Mat |
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group Credits |