[MASOCH-L] Limitando conexoes UDP por host de origem

Leonardo Rodrigues Magalhães leolistas at solutti.com.br
Wed Nov 23 15:22:44 -03 2005



Hamilton Vera escreveu:

>Boa tarde caros, tudo bem?
>
>Gostaria de saber se alguem utiliza o iptables com algum modulo
>que possibilite limitar o numero de conexoes UDP por host de origem.
>
>Por exemplo, pensei em aplicar isso para evitar ataques DoS em
>servidores DNS.
>
>Gostaria que se um determinado IP mandasse mais de 10 queries
>por segundo os pacotes sejam descartados.
>
>O que (eu penso) nao poderia ser feito por uma regra usando o "limit"
>
>--dport 53 -m limit --limit 10/s
>
>
>creio que ele nao faz distincao da origem do pacote, levando em 
>consideracao apenas a quantidade de conexoes para o host de destino,
>portanto ineficaz contra um DoS.
>
>
>Procurei no google e na pagina do netfilter porem encontrei
>referencias nao "oficiais" sobre alguns modulos.
>
>  
>
    existe um módulo, disponível através do patch-o-matic, que faz isso 
pra TCP. Porém pra UDP eu não conheço.

http://www.netfilter.org/projects/patch-o-matic/pom-base.html#pom-base-connlimit

This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).




-- 


	Atenciosamente / Sincerily,
	Leonardo Rodrigues
	Solutti Tecnologia
	http://www.solutti.com.br

	Minha armadilha de SPAM, NÃO mandem email
	gertrudes at solutti.com.br
	My SPAMTRAP, do not email it







More information about the masoch-l mailing list