Linux.pl »

Baza sprzętu »
Rozdajemy Linuksa »
Poczta Linux.pl »
Hosting Linux.pl »

Nowe posty

xx Problem z kartą sieciową (3)
2023-05-30, 14:20:32
xx Długo czekam na uruchamianie się programów w Arch'u (3)
2023-05-21, 17:06:09
xx Ten sam profil Firefox dla Arch i Windows. Da się to zrobić? (3)
2023-05-19, 22:02:18
xx Jak uruchomić automatycznie Xfce4 przy uruchamianiu Arch? (1)
2023-05-17, 23:01:47
xx Instalacja Mint Cinnamon (4)
2023-05-17, 16:27:17
xx Arch długo czeka na myszkę, pad działa ale myszka nie (0)
2023-05-17, 13:11:03
xx [ROZWIĄZANY] Jak zamontować dysk rozpoznany jako PTTYPE=PMBR? (5)
2023-05-17, 07:22:30
xx programista php - zdalnie B2B (1)
2023-05-16, 02:51:11
xx Instalacja - pytania (7)
2023-05-14, 17:24:22
xx [Rozwiązany] Problem z XFce w Debian 11 (4)
2023-05-12, 20:02:19
« poprzedni następny »
Strony: [1]   Do dołu

Autor Wątek: iptables filtrowanie połączeń  (Przeczytany 778 razy)

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2667
  • 1709
    • Zobacz profil
iptables filtrowanie połączeń
« dnia: 2021-05-16, 22:45:48 »
Chciałbym " limitować " / ograniczyć ilość logowanych połączeń danego IP co 10 minut.
Zrobiłem sobię taką zaporę.

Kod: [Zaznacz]
# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -m comment --comment Default_policy_desktop_v4 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -m comment --comment Default_policy_desktop_v4 -j ACCEPT
-A OUTPUT -m limit --limit 10/min --limit-burst 1 -j LOG --log-prefix "IPTables: "

Czyli według poradnika / dokumentacji https://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-7.html
Rozumiem to tak że w moim przypadku
gdy wystąpi powyżej 2 połączeń jakiegoś IP wyjściowego, wtedy na 10 min. dane połączenie nie jest logowane.

Ale u mnie to coś chyba nie działa, a prawdopodobnie źle zrozumiałem.
Bo mam tak, czyli " DST=IP_google_analitics "  powtarza się częściej niż co 10 minut.

Kod: [Zaznacz]
May 16 22:34:28 user kernel: [25124.691524] IPTables: IN= OUT=eth SRC=Local_IP DST=IP_google_analitics LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=39061 DF PROTO=TCP SPT=41200 DPT=443 WINDOW=24576 RES=0x00 ACK URGP=0 
May 16 22:34:42 user kernel: [25138.835635] IPTables: IN= OUT=eth SRC=Local_IP DST=IP_google_analitics LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=39075 DF PROTO=TCP SPT=41200 DPT=443 WINDOW=24576 RES=0x00 ACK URGP=0 
May 16 22:34:54 user kernel: [25151.123774] IPTables: IN= OUT=eth SRC=Local_IP DST=IP_google_analitics LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=39134 DF PROTO=TCP SPT=41200 DPT=443 WINDOW=24576 RES=0x00 ACK URGP=0 
May 16 22:35:01 user kernel: [25157.874129] IPTables: IN= OUT=eth SRC=Local_IP DST=IP_google_analitics LEN=1352 TOS=0x00 PREC=0x00 TTL=64 ID=39135 DF PROTO=TCP SPT=41200 DPT=443 WINDOW=24576 RES=0x00 ACK PSH URGP=0 
May 16 22:35:11 user kernel: [25168.212019] IPTables: IN= OUT=eth SRC=Local_IP DST=IP_google_analitics LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=39213 DF PROTO=TCP SPT=41200 DPT=443 WINDOW=24576 RES=0x00 ACK URGP=0 
May 16 22:35:22 user kernel: [25178.452091] IPTables: IN= OUT=eth SRC=Local_IP DST=IP_google_analitics LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=39214 DF PROTO=TCP SPT=41200 DPT=443 WINDOW=24576 RES=0x00 ACK URGP=0

Testuję na Linux Mint.
« Ostatnia zmiana: 2021-05-16, 22:56:41 wysłana przez 1709 »
Zapisane
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2667
  • 1709
    • Zobacz profil
Odp: iptables filtrowanie połączeń
« Odpowiedź #1 dnia: 2021-05-25, 10:54:31 »
Chyba rozwiązałem problem

Kod: [Zaznacz]
iptables -N CHAINFILTR
iptables -A OUTPUT -m conntrack --ctstate NEW -j CHAINFILTR
iptables -A CHAINFILTR -m recent --set --name FILTRNOWY --mask 255.255.255.255 --rdest
iptables -A CHAINFILTR -m recent ! --rcheck --seconds 60 --hitcount 2 --name FILTRNOWY --mask 255.255.255.255 --rdest -j LOG --log-prefix "iptables "

Dla mnie trochę dziwnie działa, ale lepsze to niż nic.

W praktyce to działa tak.
Jeżeli jedną pewną stronę odwiedzam częściej niż co minutę,
    Wtedy tylko jedno nowe połączenie będzie zanotowane w logu / w dzienniku systemowym.
    Natomiast pozostałe nowe połączenia do tej samej strony nie  będą zanotowane w logu / w dzienniku systemowym,
    nawet gdyby trwały ponad godzinę.
Jeżeli robię sobie większe przerwy powyżej 1 minuty przy odwiedzaniu strony internetowej,
    to każde nowe połączenie do tej strony  będzie odnotowane w logu.


Zapisane
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.
Strony: [1]   Do góry
« poprzedni następny »