hashlimit не блокирует...

3

mrmen2

4 апреля 2012, 18:28

2244

привет всем, такой вопрос, почему данное правило не блокирует:

iptables -A INPUT -p tcp -m tcp --dport 1122 -m conntrack --ctstate NEW -m hashlimit --hashlimit 1/m --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name block_list --hashlimit-htable-expire 60000 -j ACCEPT

потом ввожу

cat /proc/net/ipt_hashlimit/block_list

и он мне выводит

58 МОЙ_ИП:0->0.0.0.0:0 556416 9600000 1920000

но я все равно могу подключиться на етот порт.. в чем дело?

388

zexis

4 апреля 2012, 18:53

#1

у вас стоит

--hashlimit-burst 5

Это значит вы можете привысить лимит на 5 подключений.

M2

3

mrmen2

4 апреля 2012, 18:55

#2

я превышаю лимит но все равно могу подключаться и дальше

---------- Добавлено 04.04.2012 в 23:16 ----------

я ставлю для теста

--hashlimit 1/m --hashlimit-burst 2

превышаю лимит но все равно могу подключиться...

388

zexis

4 апреля 2012, 19:35

#3

у вас же

-j ACCEPT

:)

M2

3

mrmen2

4 апреля 2012, 19:55

#4

/sbin/iptables -F 

/sbin/iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 

/sbin/iptables -A INPUT -i lo -j ACCEPT 

/sbin/iptables -A INPUT -p tcp --dport 1122 -m connlimit --connlimit-above 2 -j DROP 

/sbin/iptables -A INPUT -p tcp -m tcp --dport 1122 -m conntrack --ctstate NEW -m hashlimit --hashlimit 1/m --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name login_server --hashlimit-htable-expire 600000 -j ACCEPT  

/sbin/iptables -P INPUT DROP 

/sbin/iptables -P OUTPUT ACCEPT

388

zexis

4 апреля 2012, 20:03

#5

используйте

--hashlimit-upto 1/m

а не

--hashlimit 1/m

M2

3

mrmen2

4 апреля 2012, 20:25

#6

спасибо, а еше вопрос, иногда вылетает iptables: Too many links.

это из-за чего? перед выполнением команд выполняю:

/sbin/iptables -P INPUT ACCEPT

/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -P FORWARD ACCEPT

/sbin/iptables -X

/sbin/iptables -F

(debian)

---------- Добавлено 05.04.2012 в 00:40 ----------

и можете еше подсказать, как создать цепочку, что бы в нее заносить адреса которым запрещен доступ например к 80 порту?

т.е вот так

iptables -I BANLIST-s IP -p tcp -j ACCEPT

зарание спасибо

Методы сжатия данных в «Быстрые клавиши» от Google Нужно больше ключевых слов,

388

zexis

4 апреля 2012, 21:24

#7

mrmen2:

и можете еше подсказать, как создать цепочку, что бы в нее заносить адреса которым запрещен доступ например к 80 порту?

iptables -N BANLIST

iptables -A INPUT -p tcp --dport 80 -j BANLIST

iptables -A BANLIST -s 11.22.33.44 -j DROP

M2

3

mrmen2

9 апреля 2012, 15:43

#8

а что бы открыть порт только определенным адресам, нужно

iptables -N WHITEMYSQL

iptables -A INPUT -p tcp --dport 3306 -j WHITEMYSQL

iptables -A WHITEMYSQL -s 11.22.33.44 -j ACCEPT

iptables -A WHITEMYSQL -s 11.22.33.43 -j ACCEPT

iptables -A WHITEMYSQL -s 11.22.33.42 -j ACCEPT

iptables -A INPUT -p tcp --dport 3306 -j DROP

? да все работает спасибо.

а можно еше узнать, как сохранить правила что бы после ребута они не удалились? debian

«Быстрые клавиши» от Google Нужно больше ключевых слов, Методы сжатия данных в

388

zexis

9 апреля 2012, 20:28

#9

mrmen2:

а можно еше узнать, как сохранить правила что бы после ребута они не удалились? debian

в файл /etc/network/interfaces

добавить


iface eth0 inet static

    address 192.168.1.22

    network 192.168.1.0

    netmask 255.255.255.0

    broadcast 192.168.1.255

    gateway 192.168.1.1

    up iptables-restore < /etc/network/netfilter.rules

    pre-down iptables-save > /etc/network/netfilter.rules

560

Himiko

10 апреля 2012, 03:17

#10

Для крупных цепочек лучше использовать iptables + ipset (iphash или даже nethash)

Профессиональное администрирование серверов (https://systemintegra.ru). Круглосуточно. Отзывы (/ru/forum/834230) Лицензии (http://clck.ru/Qhf5) ISPManager,VDSManager,Billmanager e.t.c. по низким ценам.

Зачем быть уникальным в мире, где все можно скопировать

Курс биткоина превысил $50 тысяч