Limite o tráfego UDP com iptables

Question

Limite o tráfego UDP com iptables

#1 resposta do Doug Smythies (0 votos)

1

Eu defini o limite para o tráfego UDP com esta regra:

iptables -A INPUT -i eth0 -p udp -m limit --limit 1/s --limit-burst 1000 -j ACCEPT

Agora, de tempos em tempos, vejo que o serviço ntpd não consegue sincronizar com servidores remotos. Eu definitivamente não quero tornar a regra menos rígida, já que --limit1 / s certamente deve ser suficiente para a sincronização do ntpd.

Existe algum tipo de tráfego extra proveniente do ntpd?

por Kerry Lenart 19.03.2017 / 22:37

1 resposta

Kodi - nenhuma informação disponível O Ubuntu não está sendo exibido em dois dos meus monitores

score 0 · Accepted Answer

A regra de limitação do udp usada não é específica, então você pode ter problemas com a sincronização do ntpd se o pacote vier imediatamente após outros pacotes udp não relacionados que causaram o acoplamento do limitador. Uma sugestão seria permitir especificamente a porta de origem 123:

iptables -A INPUT -i eth0 -p udp --sport 123 -m limit --limit 1/s --limit-burst 1000 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m limit --limit 1/s --limit-burst 1000 -j ACCEPT

Outra sugestão mais segura seria permitir apenas o pacote se for em resposta a uma solicitação iniciada por você (talvez seguida por sua regra original):

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT