Posso usar o iptables para classificar o limite de um ipset?

3

É possível usar tabelas iptable para classificar um limite ipset?

Eu sei que você pode usar o ipset para criar uma lista de bloqueio chamada lista negra

ou seja,

ipset create blacklist hash:ip
iptables -I INPUT -m set --match-set blacklist src -j DROP
ipset add blacklist 1.2.3.4
ipset add blacklist 1.2.3.5

Mas como você pode limitar o ipset chamado lista negra ? Algo como?

iptables -I INPUT -m set --match-set blacklist src -p TCP --dport 80 -m hashlimit --hashlimit 50/sec --hashlimit-burst 10 --hashlimit-name blacklisthash -j DROP

é necessário –hashlimit-mode srcip ?

obrigado

    
por p4guru 29.04.2014 / 08:30

1 resposta

1

Sim, é.

Eu fiz um teste simples usando:

ipset create ratelimit hash:ip hashsize 4096
ipset add ratelimit <ip_address>
iptables -I INPUT -m set --match-set ratelimit src -p tcp --dport 80 -m hashlimit --hashlimit 10/sec --hashlimit-name ratelimithash -j DROP

e trabalhou:

Chain INPUT (policy ACCEPT 1537 packets, 89602 bytes)
    pkts      bytes target     prot opt in     out     source               destination
      64     7562 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set ratelimit src tcp dpt:80 limit: up to 10/sec burst 5

com --hashlimit-mode srcip trabalhado também.

    
por 17.03.2016 / 20:43