Helló,

Én jelenleg próbálják korlátozni a bejövő UDP csomagok hossza 20 a per IP alapon 5 a második Iptables segítségével a Linux gép (CentOS 5.2.)

Alapvetően, ha egy IP küldése több mint 5 hossza 20 UDP csomagot egy második, a helyi gépen, azt szeretném, hogy letegye a gépet a többlet hossza 20 csomag érkezett a VI.

A modulok tökéletesen kell működnie, hogy az ilyen típusú "szabály" van;

- Korlátozza a modul
- Length modul

Mindkettő telepítve / összeállítani a kernel / iptables helyesen és működését.

Nekem van próbált több szabály határozza meg, és minden úgy tűnik, hogy nem teljesen működik. Vagy hogy minden csepp UDP csomagok hossza 20 megyünk a helyi gépen, illetve, hogy minden rájuk.

Alul van egy szabály meg használom, és ez nem működik. Van ötleted, mi lehet a probléma?

Kód:
iptables-N CHECK1
iptables-A INPUT-p udp-m hosszúságú - hossza 20-j CHECK1
iptables-A CHECK1-p udp-m hosszúságú - hossza 20-m korlát - limit 5/second-j ACCEPT
iptables-A CHECK1-j DROP

Akármi segít lenne méltányol. Köszi előre az időben!

Nem vagyok benne biztos, de a második "-m length - length 20" felesleges. Azt, hogy csak akkor, ha ez a feltétel igaz. Mi nem vagyok tisztában hossza modult, ha ez a szabály, hogy korlátozott lesz, vagy valami más. Ha ez a szabály, akkor ez a csökkenés bármely csomag több mint 20 byte után került sor 5 / másodperc.

Akarja, hogy azt az IP címet? Akkor javasoljuk, ha a "legújabb" funkció:

iptables -N CHECK1
iptables -A INPUT -p udp -m length --length 20 -j CHECK1

iptables -A CHECK1 -m recent --name longudp --rcheck 1 --hitcount 5 -j DROP
iptables -A CHECK1 -m recent --name longudp --set -j RETURN