Olá,

Atualmente, estou tentando limitar incoming UDP comprimento por 20 pacotes IP sobre uma base de 5 usando uma segunda Iptables em uma máquina Linux (CentOS 5.2).

Basicamente, se um IP está enviando mais de 5 comprimento 20 UDP um segundo pacote para a máquina local, gostaria que a máquina para largar o excesso de comprimento 20 pacotes provenientes desse IP.

Os módulos que deve funcionar perfeitamente para este tipo de "regra estabelecida" são;

- Limitação módulo
- Comprimento módulo

Ambas as quais estão instalados / compilado com o kernel / Iptables corretamente e funcionamento.

Tenho tentado vários regra fixa, e todos eles parecem não funcionar plenamente. Ou eles largar tudo UDP comprimento 20 pacotes indo para a máquina local ou permitir que todos eles por intermédio.

Abaixo é um dos conjuntos regra eu uso, e ele não está funcionando. Todas as idéias que o problema poderia ser?

Código:
iptables-N CHECK1
iptables-A INPUT-p udp-m de comprimento - comprimento 20-j CHECK1
iptables-A CHECK1-p udp-m de comprimento - 20 m de comprimento limite - limite 5/second-j ACCEPT
iptables-A CHECK1-j DROP

Qualquer ajuda será apreciada. Graças à frente do tempo!

Não tenho certeza, mas a segunda "-m de comprimento - comprimento 20" é redundante. Você só chega à mesa se que esta condição é verdadeira. O que eu não sou claro quanto à duração módulo é se é a regra, o que fica limitada ou qualquer outra coisa. Se essa é a regra, então isso iria cair qualquer pacotes de 20 bytes após houve 5 por segundo.

Vocês querem limitá-lo pelo endereço IP? Então eu recomendo que você use o "recente" característica:

iptables -N CHECK1
iptables -A INPUT -p udp -m length --length 20 -j CHECK1

iptables -A CHECK1 -m recent --name longudp --rcheck 1 --hitcount 5 -j DROP
iptables -A CHECK1 -m recent --name longudp --set -j RETURN