Como usar as regras de proxy syn e connlimit com o iptables?

2

Eu quero escrever as regras de proxy syn e connlimit. Eu quero enviar pacotes para syn proxy primeiro por causa do problema de desempenho.

Aqui está a amostra da regra.

#syn proxy rule 
iptables -t raw -A PREROUTING -i eth1 -p tcp -m tcp --syn -j CT --notrack 
iptables -t filter -A FORWARD -i eth1 -p tcp -m tcp -m state --state INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460
iptables -t filter -A FORWARD -i eth1 -m state --state INVALID -j DROP

#connlimit rule 
iptables -t filter -A FORWARD -i eth1 -p tcp -m tcp --syn -m connlimit --connlimit-above 100 -j DROP

O problema é que, como os pacotes syn (pacotes que abrem a conexão) não podem ir além da regra do proxy syn, eles não podem corresponder ao connlimit. Eu estou procurando uma maneira alternativa de escrever connlimit para que ele possa trabalhar com synproxy.

    
por ibrahim 23.01.2015 / 10:57

1 resposta

0

Eu estava usando a mesma regra (synproxy em uma bridge), mas percebi que a solicitação tcp normal não funcionaria, ou seja, depois de implementar as regras synproxy, todas as solicitações de sincronização foram bloqueadas. Eu tenho monitorado com o tcpdump. Gostaria de saber se as regras do synproxy funcionam como esperado?

    
por 22.02.2015 / 04:05