Форум русскоязычного сообщества Ubuntu


Автор Тема: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)  (Прочитано 192633 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Люди, кто-то разобрался с ограничением сессий на айпишку в iptables ????
как без перекомпилировки ядра установить CONNLIMIT ?


строка -A FORWARD -p tcp --syn -m connlimit --conntrack-limit 60 -j REJECT дает при запуске конфига:
ptables v1.3.8: Couldn't load match `connlimit':/lib/iptables/libipt_connlimit. so: cannot open shared object file: No such file or directory ...

#uname -a
Linux ubuntu 2.6.24-19-server #1 SMP Wed Aug 20 23:54:28 UTC 2008 i686 GNU/Linux

Как енто дело правильно забацать?


по мануалам :
http://www.forums.bit-torrent.ru/showthread.php?t=3031
http://flance.onego.ru/2008/05/21/12
http://www.opennet.ru/base/net/connlimit_fedora.txt.html

предлагают перекомпиляцию ядра для установки данного пакета!
« Последнее редактирование: 02 Марта 2011, 00:22:39 от stmc »

Оффлайн darzanebor

  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #1 : 09 Октября 2008, 13:34:51 »
Так попробуй...
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 60 -j REJECT
защита от скрытого сканирования портов
        iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -d any/0 -j QUEUE
 Блокируем черезмерно большое кол-во icmp запрсов.
        iptables -t filter -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
        iptables -t filter -A FORWARD -p icmp -j DROP
« Последнее редактирование: 09 Октября 2008, 13:38:27 от darzanebor »

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #2 : 09 Октября 2008, 16:36:04 »
Так попробуй...
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 60 -j REJECT
защита от скрытого сканирования портов
        iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -d any/0 -j QUEUE
 Блокируем черезмерно большое кол-во icmp запрсов.
        iptables -t filter -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
        iptables -t filter -A FORWARD -p icmp -j DROP

Сорри, у меня так и было...не -conntrack.

-A FORWARD -p tcp --syn -m connlimit --conntrack-limit 60 -j REJECT

тогда получаеться:
root@ubuntu:/etc# cat /etc/iptables-save | iptables-restore -c
iptables-restore v1.3.8: Couldn't load match `connlimit':/lib/iptables/libipt_connlimit.so: cannot open shared object file: No such file or directory

Error occurred at line: 26
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
_________________________-

-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -d any/0 -j QUEUE
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE

эти правила рабьотают! У меня проблема лишь с модулем CONNLIMIT



Оффлайн darzanebor

  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #3 : 09 Октября 2008, 19:29:47 »
Это все правильно работает у тебя что то то с iptables, это строчки с моего рабочего скрипта =) сейчас траффик фильтрует =)

Оффлайн Tokh

  • Активист
  • *
  • Сообщений: 705
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #4 : 09 Октября 2008, 19:56:50 »
Маны не прочёл, но заметил:
Для iptables иногда необходимо отдельной коммандой загружать дополнительные модули ядра. В топике нет о том загружен ли "libipt_connlimit.so" или кто-то с ним связанный и была ли вообще попытка где-то его загрузить.
StarDict и Mueller помогут против английского мануала.

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #5 : 09 Октября 2008, 20:04:21 »
Это все правильно работает у тебя что то то с iptables, это строчки с моего рабочего скрипта =) сейчас траффик фильтрует =)

Хм.. и что же таки у меня с айпитейблз?.. интересно таки..
Я же говорю.. что модуль CONNLIMIT надо отдельно загружать.. но вот как.. я не имел практики.
Потому и спрашиваю.

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #6 : 09 Октября 2008, 20:05:26 »
Маны не прочёл, но заметил:
Для iptables иногда необходимо отдельной коммандой загружать дополнительные модули ядра. В топике нет о том загружен ли "libipt_connlimit.so" или кто-то с ним связанный и была ли вообще попытка где-то его загрузить.

Вот-вот... Вы правы.

Оффлайн darzanebor

  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #7 : 09 Октября 2008, 21:43:14 »
modprobe ip_вашмодуль

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #8 : 10 Октября 2008, 00:52:35 »
modprobe ip_вашмодуль

root@ubuntu:/home/trek# modprobe ip_connlimit
FATAL: Module ip_connlimit not found.

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #9 : 10 Октября 2008, 10:10:06 »
Нету такого модуля в стандартном ядре. Требуется пересобирать с применением iptables patch-o-matic:

ftp://ftp.netfilter.org/pub/patch-o-matic-ng/

Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #10 : 10 Октября 2008, 10:16:28 »
Нету такого модуля в стандартном ядре. Требуется пересобирать с применением iptables patch-o-matic:

ftp://ftp.netfilter.org/pub/patch-o-matic-ng/



Пересобирать ядро?.. А этот пакет патчит только КОННЛИМИТ?:

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #11 : 10 Октября 2008, 18:05:33 »
Нету такого модуля в стандартном ядре. Требуется пересобирать с применением iptables patch-o-matic:

ftp://ftp.netfilter.org/pub/patch-o-matic-ng/



Пересобирать ядро?.. А этот пакет патчит только КОННЛИМИТ?:
Пакет патчит и ядро и iptables, если необходимо.
По функционалу там много патчей - не только КОННЛИМИТ. В README описано, как ставить. Можно и выборочно.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #12 : 13 Октября 2008, 16:14:00 »
Нету такого модуля в стандартном ядре. Требуется пересобирать с применением iptables patch-o-matic:

ftp://ftp.netfilter.org/pub/patch-o-matic-ng/



Пересобирать ядро?.. А этот пакет патчит только КОННЛИМИТ?:
Пакет патчит и ядро и iptables, если необходимо.
По функционалу там много патчей - не только КОННЛИМИТ. В README описано, как ставить. Можно и выборочно.

Не получаеться у меня ни пропатчить.. ни ядро пересобрать!
Вот блин теорема Пифагора оказалась эта затея :((((

Где в каталоге POM надо указать KERNEL_DIR, в каком файле?

и потом как узнать мой текуций путь к ядру? если у меня в /usr/src/ есть три папки :

1.drwxr-xr-x 23 root root     4096 2008-10-11 22:31 linux-2.6.27
2.drwxr-xr-x 20 root root     4096 2008-08-31 02:09 linux-headers-2.6.24-19
3.drwxr-xr-x  6 root root     4096 2008-08-31 02:09 linux-headers-2.6.24-19-generic

И какую IPTABLES_DIR указать?

Вот запускаю ./runme, а он матюкаеться , что не указаны ни путь к ядру, ни к айпитейблз:

root@ubuntu:/usr/src/patch-o-matic-ng-20070401# ./runme
Hey! KERNEL_DIR is not set.
Where is your kernel source directory? [/usr/src/linux] /usr/src/linux-headers-2.6.24-19/
Hey! IPTABLES_DIR is not set.
Where is your iptables source code directory? [/usr/src/iptables] /lib/iptables/
/lib/iptables/ doesn't look like a iptables source code directory to me.


Помогите , господа!
Не могу сам ражжевать! :(

« Последнее редактирование: 13 Октября 2008, 16:19:06 от TrEK »

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #13 : 13 Октября 2008, 18:01:44 »
Где в каталоге POM надо указать KERNEL_DIR, в каком файле?
Ни в каком, это переменная среды. Установить её можно, например, так:
export KERNEL_DIR=/usr/src/linux

и потом как узнать мой текуций путь к ядру? если у меня в /usr/src/ есть три папки :
Никак не узнать. Куда скачал исходники - туда и указывай.

И какую IPTABLES_DIR указать?
Такую, где лежат исходники iptables.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #14 : 13 Октября 2008, 18:47:26 »

Цитировать
Ни в каком, это переменная среды. Установить её можно, например, так:
export KERNEL_DIR=/usr/src/linux
Ну а скажем если я сменю эту переменную, тогда ведь что-то да поменяеться в ОС. ??    или она нужна лишь в тех случаях.. когда пересобираешь ядро?




Цитировать
Никак не узнать. Куда скачал исходники - туда и указывай.
ага.. тоесть KERNEL_DIR - это та директория где размещена новая версия скачаного ядра?




Цитировать
Такую, где лежат исходники iptables.
а как понимать "исходники" ? ???
директория где размещены все модули?... или еще какие-либо файлы iptables? :idiot2:



 

Страница сгенерирована за 0.043 секунд. Запросов: 22.