[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[Nightik]

Вообщем все отлично, если обновлялся прописывай в грубе предыдущее ядро, и все будет нормально работать. В т.ч. и коннлимит. По крайней мере у меня уже сутки полёт нормальный.

Ну у меня щас 2,6,27 ядро с 1,4,2 айпимтейблзами.
Вроде бы работает.

Вот только TARPIT не канает.

Я же говорю при большом кол-ве соединений начинаются глюки, к тому же как мне показалось, это глюк драйверов для моего оборудования.

Посмотрит как у меня будет летать!
Кстати а можна как-нбудь сделать.. чтоб ограничить каждой айпишке колличество сессий, но одной коммандой.. а не писать для каждоый айпи или сети новое правило?

Не совсем понял о чем ты, можно задать диапазон, у меня например так:
$IPT -A INPUT -p tcp -s 10.0.0.0/10.255.255.255 --syn --dport 8282 -m connlimit --connlimit-above 20 -j DROP

[TrEK]

смотри:


-A INPUT -p tcp -s 192.168.1.1 --syn  -m connlimit --connlimit-above 50 -j DROP
-A INPUT -p tcp -s 192.168.1.2 --syn  -m connlimit --connlimit-above 50 -j DROP
-A INPUT -p tcp -s 192.168.1.3 --syn  -m connlimit --connlimit-above 50 -j DROP
-A INPUT -p tcp -s 192.168.1.4 --syn  -m connlimit --connlimit-above 50 -j DROP
-A INPUT -p tcp -s 192.168.1.5 --syn  -m connlimit --connlimit-above 50 -j DROP
-A INPUT -p tcp -s 192.168.1.6 --syn  -m connlimit --connlimit-above 50 -j DROP
...
...
...
-A INPUT -p tcp -s 192.168.1.254 --syn  -m connlimit --connlimit-above 50 -j DROP

В итоге: у меня 254 правила.. которые  192,168,1,0/24 сети ограничивают каждой айпишке колличество соединений до 50.

Если юзать твой пример, -A INPUT -p tcp -s 192.168.1.1/192.168.1.254 --syn  -m connlimit --connlimit-above 50 -j DROP - тогда 50 сессий будет на все 254 айпишки.

А можно ли задать одним правилом ограничение, а не 254-мя?
Вот суть моего вопроса.

_______________
Просто на ЦИсках есть такая фича: ip nat translation max-entires all-host [значение]... где указываешь нужное значение.. и с каждой айпишки не сделаешь больше сессий , чем указано.
Вот я подумал.. может в айпитейблз тоже есть такая штука?

[TrEK]

Кстати, как проверить сколько на данный момент соединений по айпишке?

Есть какая-нибудь комманда? или это все надо тсп-дампом снифферить?

[Nightik]

Если юзать твой пример, -A INPUT -p tcp -s 192.168.1.1/192.168.1.254 --syn  -m connlimit --connlimit-above 50 -j DROP - тогда 50 сессий будет на все 254 айпишки.

Будет 50 сессий на каждый айпи в диапазоне, а не на все 254 айпи.

[Nightik]

Кстати, как проверить сколько на данный момент соединений по айпишке?

Есть какая-нибудь комманда? или это все надо тсп-дампом снифферить?

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

[TrEK]

Если юзать твой пример, -A INPUT -p tcp -s 192.168.1.1/192.168.1.254 --syn  -m connlimit --connlimit-above 50 -j DROP - тогда 50 сессий будет на все 254 айпишки.

Будет 50 сессий на каждый айпи в диапазоне, а не на все 254 айпи.

Каждой айпишке будет дано ограничение 50 сессий??? ухх.. круто.
Тогда действительно нужный параметр.

[TrEK]

Кстати, как проверить сколько на данный момент соединений по айпишке?

Есть какая-нибудь комманда? или это все надо тсп-дампом снифферить?

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Хэх... хороша штука.

root@ubuntu:/home/trek# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
      1 127.0.0.1
      1 Address
      1 servers)
     11 91.124.127.219

11 сессий с моей айпишки.

А какие еще есть полезные комманды?...
А можно каким-либо образом организовать так, чтоб сведения по айпишкам выводились на экран.. ну скажем на веб-интерфейс.. и в интерактивном режиме обновлялись... что-то по типу работы крона.

[Nightik]

conn.sh:
#!/bin/sh
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

conn.php
<?
echo '<pre>';
system('sh conn.sh');
?>

[TrEK]

conn.sh:
#!/bin/sh
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

conn.php
<?
echo '<pre>';
system('sh conn.sh');
?>

мм.. выполнение этого скрипта кинуть в крон??... а куда инфа будет выводиться?...
и что я заметил.. комманда показывает сессии непосредственно с сервером... а те, что форвардинг?... тоесть если сервер будет шлюзом...
Можна ли просмотреть те сессии которые висят сквозь сервер?

[VA]

1) cd /tmp
2) wget http://www.iptables.org/projects/iptables/files/iptables-1.4.2-rc1.tar.bz2
3) tar -jxvf iptables-1.4.2-rc1.tar.bz2 (просто так короче)
4) cd iptables-1.4.2-rc1
5) ./configure
6) make
7) sudo make install
8.) iptables -V

Мануальчик 100% рабочий единственное я бы ставил iptables-1.4.2 релиз т. е. wget http://www.iptables.org/projects/iptables/files/iptables-1.4.2.tar.bz2
И неплохо бы тему закрепить

[TrEK]

1) cd /tmp
2) wget http://www.iptables.org/projects/iptables/files/iptables-1.4.2-rc1.tar.bz2
3) tar -jxvf iptables-1.4.2-rc1.tar.bz2 (просто так короче)
4) cd iptables-1.4.2-rc1
5) ./configure
6) make
7) sudo make install
8.) iptables -V

Мануальчик 100% рабочий единственное я бы ставил iptables-1.4.2 релиз т. е. wget http://www.iptables.org/projects/iptables/files/iptables-1.4.2.tar.bz2
И неплохо бы тему закрепить

Да.. рабочий.. + неплохо бы закрепить и продолжить обсуждение по поводу ограничений разными модулями.

[Nightik]

conn.sh:
#!/bin/sh
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

conn.php
<?
echo '<pre>';
system('sh conn.sh');
?>

мм.. выполнение этого скрипта кинуть в крон??... а куда инфа будет выводиться?...

Зачем в кронт, ты просил что бы выводилось через веб, вот тебе два скрипта, оба кидаешь в одно место доступное из веба, и открываешь в браузере http://localhost/conn.php

[TrEK]

conn.sh:
#!/bin/sh
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

conn.php
<?
echo '<pre>';
system('sh conn.sh');
?>

С этим рабозрался спасибо..



мм.. выполнение этого скрипта кинуть в крон??... а куда инфа будет выводиться?...

Зачем в кронт, ты просил что бы выводилось через веб, вот тебе два скрипта, оба кидаешь в одно место доступное из веба, и открываешь в браузере http://localhost/conn.php

А можна как-то автоматически тот пшп рефрешить ?? каждые 3 секунды например....
И еще я спрашивал выше - даная комманда в скрипте показывает сессии которые непосредственно осуществляються на сервер.. а как бы  коммандочку.. которая показывает все проходящие сессии клиентгв через сервер... по протоколу юдп, например.

[Nightik]

А можна как-то автоматически тот пшп рефрешить ?? каждые 3 секунды например....

Ну нажимаешь f5 в браузере и рефрешишь)
Можно даже в кронте поставить, что бы данные сохранялись куда-нибудь, например так:
wget http://127.0.0.1/conn.php

И еще я спрашивал выше - даная комманда в скрипте показывает сессии которые непосредственно осуществляються на сервер.. а как бы  коммандочку.. которая показывает все проходящие сессии клиентгв через сервер... по протоколу юдп, например

Мне это не нужно на данный момент, по этому придется самому изучать man netstat   

[TrEK]

А можна как-то автоматически тот пшп рефрешить ?? каждые 3 секунды например....

Ну нажимаешь f5 в браузере и рефрешишь)
Можно даже в кронте поставить, что бы данные сохранялись куда-нибудь, например так:
wget http://127.0.0.1/conn.php

ну с Ф5 єто понятно )) просто я знаю что в ШТМЛ задаеться в теге, вроде бы <BODY> , параметр REFRESH для автоматического обновления странички.

Мне это не нужно на данный момент, по этому придется самому изучать man netstat   coolsmiley

Будем мануалить.