O que são essas regras iptables?

2

Estou tentando descobrir o que essas regras do iptables realmente fazem, mas não sou muito experiente.

Estas são as duas regras:

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 16 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp --syn --dport 443 -m connlimit --connlimit-above 20 --connlimit-mask 16 -j REJECT --reject-with tcp-reset

Estou tentando usar o Google por mim mesmo, mas não tenho certeza absoluta.

Entendo que essas regras se aplicam a conexões de entrada para o servidor usando o protocolo TCP em uma porta específica ( HTTP e HTTPS neste caso) e rejeitar endereços IP que enviam mais de 20 dentro de um período de tempo específico. Mas eu não entendo exatamente o que os seguintes atributos fazem ou como o REJECT realmente funciona.

  • - syn
  • - connlimit-acima de 20
  • - connlimit-mask 16
  • REJECT --reject-with tcp-reset

Qual é o período de tempo em que o limite se aplica, à medida que esses endereços IP são bloqueados e, em caso afirmativo, por quanto tempo?

    
por Analog 13.02.2016 / 12:42

1 resposta

5

Abaixo estão os significados desses argumentos nas regras acima do iptables.

--syn

Isto é realmente curto para --tcp-flags SYN,RST,ACK,FIN SYN e diz que para os pacotes sendo examinados por esta regra iptables, os flags TCP SYN, RST, ACK e FIN devem ser verificados. Somente pacotes com o conjunto SYN do sinalizador TCP devem ser correspondidos.

--connlimit-above 20

Isso faz parte do argumento -m connlimit --connlimit-above 20 e diz para corresponder os pacotes ao limite de conexão. Se os pacotes estiverem relacionados a qualquer conexão em excesso das primeiras 20 conexões, elimine os pacotes.

--connlimit-mask 16

Isso permite que você restrinja quais máscaras de sub-rede dos quais os pacotes são originários serão permitidas. Este argumento se traduz apenas em limitar o número de conexões para 16 para cada sub-rede 255.255.0.0. Então, usando os dois juntos, você está controlando quantas conexões podem ser feitas a partir de uma sub-rede 255.255.0.0 ao mesmo tempo.

REJECT --reject-with tcp-reset

Isso diz que qualquer pacote que corresponda deve ser descartado. Ao dizer ao iptables para descartar o pacote com o tcp-reset, você está dizendo que a origem deve iniciar a conversa (e se eles fizerem o mesmo pedido, também será deinida).

link

link

    
por 13.02.2016 / 14:04

Tags