возможно ли такое?
если пакет соответствует правилу, то:
1) передавать управление внешнему приложению, и получать значение "ACCEPT/DROP"
2) делать копию пакета и посылать их на нужный адрес:порт
3) считать кол-во пакетов в разрезе исходящих ip с учетом устаревания пакетов ( т.е. возможность блокирования исх. ip если от него пришло 50 в течении минуты )
Пользователь решил продолжить мысль 28 Июля 2010, 06:28:51:
3) возможность есть, пример:
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -m hashlimit --hashlimit-upto 5/min --hashlimit-mode srcip --hashlimit-name sshhash -j ACCEPT
Пользователь решил продолжить мысль 28 Июля 2010, 07:10:24:
по вопросу 2, нашел пример:
iptables -t mangle -p udp --dport 50138 -A OUTPUT -s 192.168.0.4 -d 234.0.0.1 -j ROUTE --oif eth0 --tee
iptables -t nat -p udp --dport 50138 -A OUTPUT -s 192.168.0.4 -d 234.0.0.1 -j DNAT --to-destination 192.168.0.4
только я тут что-то запутался,
получается флаг "--tee" можно прописывать к любому правилу т.к. копия пакета не отличается о оригинала...
есть ли этот -tee в базовом ядре?
Тема: iptables возможности (Прочитано 1017 раз)
