[MASOCH-L] Limitando conexoes UDP por host de origem
Leonardo Rodrigues Magalhães
leolistas at solutti.com.br
Wed Nov 23 15:22:44 -03 2005
Hamilton Vera escreveu:
>Boa tarde caros, tudo bem?
>
>Gostaria de saber se alguem utiliza o iptables com algum modulo
>que possibilite limitar o numero de conexoes UDP por host de origem.
>
>Por exemplo, pensei em aplicar isso para evitar ataques DoS em
>servidores DNS.
>
>Gostaria que se um determinado IP mandasse mais de 10 queries
>por segundo os pacotes sejam descartados.
>
>O que (eu penso) nao poderia ser feito por uma regra usando o "limit"
>
>--dport 53 -m limit --limit 10/s
>
>
>creio que ele nao faz distincao da origem do pacote, levando em
>consideracao apenas a quantidade de conexoes para o host de destino,
>portanto ineficaz contra um DoS.
>
>
>Procurei no google e na pagina do netfilter porem encontrei
>referencias nao "oficiais" sobre alguns modulos.
>
>
>
existe um módulo, disponível através do patch-o-matic, que faz isso
pra TCP. Porém pra UDP eu não conheço.
http://www.netfilter.org/projects/patch-o-matic/pom-base.html#pom-base-connlimit
This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).
--
Atenciosamente / Sincerily,
Leonardo Rodrigues
Solutti Tecnologia
http://www.solutti.com.br
Minha armadilha de SPAM, NÃO mandem email
gertrudes at solutti.com.br
My SPAMTRAP, do not email it
More information about the masoch-l
mailing list