[MASOCH-L] Limitando conexoes UDP por host de origem
Lisandro Weissheimer
lisandro at weissheimer.eti.br
Wed Nov 23 14:29:01 -03 2005
Existe um firewall da Interage (www.interage.com.br) que faz limite de
pacotes para origem e destino.
Veja se serve para você.
No site tem um demo do firewall.
Abraço,
___________________________
Lisandro Weissheimer
www.weissheimer.eti.br
lisandro at weissheimer.eti.br
___________________________
On Wed, November 23, 2005 15:22, Leonardo Rodrigues Magalhães said:
>
>
> Hamilton Vera escreveu:
>
>>Boa tarde caros, tudo bem?
>>
>>Gostaria de saber se alguem utiliza o iptables com algum modulo
>>que possibilite limitar o numero de conexoes UDP por host de origem.
>>
>>Por exemplo, pensei em aplicar isso para evitar ataques DoS em
>>servidores DNS.
>>
>>Gostaria que se um determinado IP mandasse mais de 10 queries
>>por segundo os pacotes sejam descartados.
>>
>>O que (eu penso) nao poderia ser feito por uma regra usando o "limit"
>>
>>--dport 53 -m limit --limit 10/s
>>
>>
>>creio que ele nao faz distincao da origem do pacote, levando em
>>consideracao apenas a quantidade de conexoes para o host de destino,
>>portanto ineficaz contra um DoS.
>>
>>
>>Procurei no google e na pagina do netfilter porem encontrei
>>referencias nao "oficiais" sobre alguns modulos.
>>
>>
>>
> existe um módulo, disponível através do patch-o-matic, que faz isso
> pra TCP. Porém pra UDP eu não conheço.
>
> http://www.netfilter.org/projects/patch-o-matic/pom-base.html#pom-base-connlimit
>
> This adds an iptables match which allows you to restrict the
> number of parallel TCP connections to a server per client IP address
> (or address block).
>
>
>
>
> --
>
>
> Atenciosamente / Sincerily,
> Leonardo Rodrigues
> Solutti Tecnologia
> http://www.solutti.com.br
>
> Minha armadilha de SPAM, NÃO mandem email
> gertrudes at solutti.com.br
> My SPAMTRAP, do not email it
>
>
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list