[MASOCH-L] Limitando conexoes UDP por host de origem
Rubens Kuhl Jr.
rubensk at gmail.com
Thu Nov 24 00:06:35 -03 2005
Que tal usar TC ao invés de iptables para essa limitação ? Com SFQ ou
ESFQ, você pode determinar um máximo de bytes/s que o servidor DNS irá
receber, e dividir esse máximo de forma eqüânime entre as conexões
(SFQ) ou entre os IPs de origem (ESFQ).
Rubens
On 11/23/05, Hamilton Vera <hamilton at i2.com.br> wrote:
> Boa tarde caros, tudo bem?
>
> Gostaria de saber se alguem utiliza o iptables com algum modulo
> que possibilite limitar o numero de conexoes UDP por host de origem.
>
> Por exemplo, pensei em aplicar isso para evitar ataques DoS em
> servidores DNS.
>
> Gostaria que se um determinado IP mandasse mais de 10 queries
> por segundo os pacotes sejam descartados.
>
> O que (eu penso) nao poderia ser feito por uma regra usando o "limit"
>
> --dport 53 -m limit --limit 10/s
>
>
> creio que ele nao faz distincao da origem do pacote, levando em
> consideracao apenas a quantidade de conexoes para o host de destino,
> portanto ineficaz contra um DoS.
>
>
> Procurei no google e na pagina do netfilter porem encontrei
> referencias nao "oficiais" sobre alguns modulos.
>
> Obrigado pela atencao.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list