IPTables - Regras que não funcionam

Navegue suas respostas
2

Eu estava procurando algumas novas regras, mas não consigo fazer com que funcionem no momento, O erro que recebo é iptables: Applying firewall rules: iptables-restore: line 36 failed e esse é o COMMIT .

Mudei o COMMIT para ver se conseguia refinar o problema e acho que poderia estar na linha com -A LIMIT_INDIVIDUAL_CURRENT -m recent --update --seconds 300 --hitcount 200 -j DROP Alguém tem uma idéia? 

*filter
:INPUT DROP [13:672]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1604:100070]
:LIMIT_INDIVIDUAL_NEW - [0:0]
:LIMIT_INDIVIDUAL_CURRENT - [0:0]
:LIMIT_OVERALL_NEW - [0:0]
-A INPUT -i lo -j ACCEPT
#Apache
-A INPUT -p tcp --dport 80 -m state --state RELATED,ESTABLISHED -j LIMIT_INDIVIDUAL_CURRENT
-A INPUT -p tcp --dport 80 --syn -m state --state NEW -j LIMIT_INDIVIDUAL_NEW
#Teamspeak
-A INPUT -p tcp --dport 30033 -m state --state RELATED,ESTABLISHED -j LIMIT_INDIVIDUAL_CURRENT
-A INPUT -p tcp --dport 30033 --syn -m state --state NEW -j LIMIT_INDIVIDUAL_NEW
-A INPUT -p tcp --dport 10011 -m state --state RELATED,ESTABLISHED -j LIMIT_INDIVIDUAL_CURRENT
-A INPUT -p tcp --dport 10011 --syn -m state --state NEW -j LIMIT_INDIVIDUAL_NEW
-A INPUT -p udp --dport 9987 -j ACCEPT
#Iptables DoS and Slowloris mitigation
-A LIMIT_INDIVIDUAL_CURRENT -m recent --set
-A LIMIT_INDIVIDUAL_CURRENT -p tcp --tcp-flags FIN FIN -m recent --remove
-A LIMIT_INDIVIDUAL_CURRENT -m recent --update --seconds 300 --hitcount 200 -j DROP
-A LIMIT_INDIVIDUAL_CURRENT -j ACCEPT
-A LIMIT_INDIVIDUAL_NEW -m recent --set
-A LIMIT_INDIVIDUAL_NEW -m recent --update --seconds 1 --hitcount 30 -j DROP
-A LIMIT_INDIVIDUAL_NEW -j LIMIT_OVERALL_NEW
-A LIMIT_OVERALL_NEW -m limit --limit 500/second -j ACCEPT
-A LIMIT_OVERALL_NEW -j DROP
COMMIT
    
por ZeroErrors 06.02.2013 / 04:39

1 resposta

2

Eu tentei isso e parece provável que suas suspeitas estejam corretas: 

[root@risby home]# iptables -A FOO -m recent --update --seconds 300 --hitcount 200 -j DROP
iptables: Invalid argument. Run 'dmesg' for more information.

[root@risby home]# dmesg|tail -1
[1141835.281122] xt_recent: hitcount (200) is larger than packets to be remembered (20)

man iptables revela o seguinte: 

   --hitcount hits
          This option must be used in conjunction with one of --rcheck or
          --update.  When used, this will narrow the match to only happen
          when the address is in the list and packets had  been  received
          greater  than  or  equal to the given value. This option may be
          used along with --seconds to  create  an  even  narrower  match
          requiring  a  certain  number  of  hits  within a specific time
          frame. The maximum value for the hitcount parameter is given by
          the "ip_pkt_list_tot" parameter of the xt_recent kernel module.
          Exceeding this value on the command line will cause the rule to
          be rejected.

Então, se eu fosse você, tentaria eliminar esse 200 para 10 . Se isso faz com que o problema desapareça (ou, pelo menos, deixe essa linha), você identificou o problema. Eu executei um strings no módulo do kernel e procurei por esse parâmetro e encontrei, entre outros, as duas entradas a seguir: 

parm=ip_pkt_list_tot:number of packets per IP address to remember (max. 255)
parmtype=ip_pkt_list_tot:uint

que me dizem que este parâmetro pode ser definido como um argumento quando o módulo é carregado, mas não pode em caso algum exceder 255. Esse é o tipo de limite que me faz pensar que mesmo recompilar seu próprio kernel não ajuda, e você teria que reescrever o módulo para usar mais do que um contador de um byte ( uint = inteiro sem sinal); Eu suspeito que isso não vai estar na agenda.

Espero que o texto acima mostre alguma luz sobre o problema e possíveis remediações.

    
por 07.02.2013 / 09:04

Tags

Compartilhe a impressora através de redes separadas por VLAN usando o Comutador HP 1810-48G (J9660A) Uma partição tempDB do SQL Server deve ser compartilhada pelo cluster?