[MASOCH-L] Limitando conexoes UDP por host de origem

Hamilton Vera hamilton at i2.com.br
Wed Nov 23 13:42:28 -03 2005


Boa tarde caros, tudo bem?

Gostaria de saber se alguem utiliza o iptables com algum modulo
que possibilite limitar o numero de conexoes UDP por host de origem.

Por exemplo, pensei em aplicar isso para evitar ataques DoS em
servidores DNS.

Gostaria que se um determinado IP mandasse mais de 10 queries
por segundo os pacotes sejam descartados.

O que (eu penso) nao poderia ser feito por uma regra usando o "limit"

--dport 53 -m limit --limit 10/s


creio que ele nao faz distincao da origem do pacote, levando em 
consideracao apenas a quantidade de conexoes para o host de destino,
portanto ineficaz contra um DoS.


Procurei no google e na pagina do netfilter porem encontrei
referencias nao "oficiais" sobre alguns modulos.

Obrigado pela atencao.



More information about the masoch-l mailing list