Eu estou tentando escrever um firewall adaptativo usando o iptables, e não estou claro sobre como o módulo recente está funcionando. Por exemplo, consulte o link
Snippet do meu iptables:
...input stuff, established, etc...
-A INPUT -m conntrack --ctstate NEW -j limiter
... more input stuff...
# very end of chain, nothing matches. Likely unauthorized port
-A INPUT -m conntrack --ctstate NEW -m recent --name PORTSCAN --set
# limiter table
-A limiter -m recent --update --name PORTSCAN
-A limiter -m recent --rcheck --name PORTSCAN --hitcount 10 --seconds 300 -j LOG
Esta configuração funciona. Observando / proc / net / xt_recent / PORTSCAN, rodar o nmap em uma porta fechada adiciona meu ip e, em seguida, tentar conectar a porta 80 (que está aberta) atualiza a lista. Além disso, se eu me conectar apenas às portas abertas, não serei adicionado à lista.
Minha pergunta é: quando tento combinar as duas linhas da tabela de limiter em uma, ela não funciona mais.
#-A limiter -m recent --update --name PORTSCAN
#-A limiter -m recent --rcheck --name PORTSCAN --hitcount 10 --seconds 300 -j LOG
-A limiter -m recent --update --name PORTSCAN --hitcount 10 --seconds 300 -j LOG
A varredura de uma porta aberta após uma fechada não atualiza a lista (embora, se o limite de 10 pacotes / 300 segundos for excedido, ela seja registrada).
Meu entendimento era de que a linha de atualização seria equivalente às outras duas. Porque não?
Tags iptables