Изпечатай

[Nerf]

Здравеите,
от доста време несъм писал тук (не ми се е налагало), но ето че пак съм тук. '> хаахаха само как прозвуча

Имам един проблем който незнам дали не се далжи на това че тия дни имах доста работа и сега сам малко зациклил(и гледам като електроженист 3-ти разряд).

Та.. искам да огранича връзките до мойто smtp от всяко IP(или поне на зомбираните спамерчета). Тоест да могат да пращат примерно максимум до 200 писма на ден. И се чудя как да стане? iptables?
това което ми се върти в главата е нещо такова:

iptables -A INPUT -p tcp -s X.X.X.0/24 --syn --dport 25 -j REJECT
iptables -I INPUT -p tcp -s X.X.X.0/24 --dport 25 -m limit --limit +200/day --limit-burst 1 -j ACCEPT
обаче така не се получава....тоест получава се ама малко по различно ...сиреч ограничава 25 порт до 200 канекци ВЪОБЩЕ а на мен ми тря 200 канекци на IP.
Пробвах и нещо такава по някое време:
 iptables -А INPUT -s X.X.X.0/24 -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 1 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
ама така просто получавам по една едновремена канекция
и така еволюирах до:
 iptables -I INPUT -s X.X.X.0/26 -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 1 --connlimit-mask 32 -m limit --limit 2/min -j REJECT --reject-with icmp-port-unreachable
но и това не е което искам (времената и броя на канекците са такива само за теста)

Та доста порових из нет-а и стигнах до тук.
Благодаря предварително за всеки отговор.  '>

П.С. Примерите по-горе са само част от тестваните правила. Дал съм ги защото смятам, че могат да ви насочат към това което искам да направя.

[VladSun]

Можеш да пробваш комбинация от "limit" match-a И "recent" match-a (или само втория). Вторият работи по таблица от ИП-та. Виж примерите в man iptables.

PS: Може би трябва и да определиш размера на таблиците. (вж. man iptables)

[Nerf]

Ще те помоля за пример защото неуспявам да си съчиня сам.

[VladSun]

Цитат

Example #1: # iptables -A FORWARD -m recent --rcheck --seconds 60 -j DROP # iptables -A FORWARD -i eth0 -d 127.0.0.0/8 -m recent --set -j DROP Here we are making a 'bad guy' out of anyone who tries to send data to 127.0.0.0/8 on our eth0 interface (which should never legitimately happen). The first packet will make it past the first rule and then be caught by the second rule and that address will be put into the recent list and the packet dropped

iptables -A INPUT -p tcp -s X.X.X.0/24 --syn --dport 25  -m recent --name bad_smtp --rcheck --seconds 60 -j DROP
iptables -N SMTP_CHAIN
iptables -A INPUT -p tcp -s X.X.X.0/24 --syn --dport 25  -m recent --name bad_smtp --set -j SMTP_CHAIN
iptables -A SMTP_CHAIN -j RETURN

PS: Не можах да се сетя за по-елегантен начин за "CONTINUE" target '>

[Nerf]

Мерси много '> Така е префектно.
Незнам как до сега все ми е убягвал recent пача при положение че върши такава добра рапота.

пак мерси и имаш бира от мен '>

[VladSun]

Можеш и така:

iptables -A INPUT -p tcp -s X.X.X.0/24 --syn --dport 25  -m recent --name bad_smtp --rcheck --seconds 60 -j DROP
iptables -A INPUT -p tcp -s X.X.X.0/24 --syn --dport 25  -m recent --name bad_smtp --set -j ACCEPT

при условие, че пакетите към 25 порт не ги обработваш по-долу в защитната стена.

ПС: "Загорка", голяма '>

[Nerf]

'> Имаш я. Само тря се засечем на някое от опен сорс събитицата.