Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4  (Прочитано 1291 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн r2max

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« : 15 Ноябрь 2011, 03:21:37 »
Ребят, не работает connlimit...
то есть лимит ставлю - а лимита нету (никаких ошибок не выводит)
#!/bin/bash

/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F

# other network protection
echo 1 > /proc/sys/net/ipv4/tcp_syncookies                              # enable syn cookies (prevent against the common 'syn flood attack')
echo 0 > /proc/sys/net/ipv4/ip_forward                                  # disable Packet forwarning between interfaces
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts                 # ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians                       # log packets with impossible addresses to kernel log
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses           # disable logging of bogus responses to broadcast frames
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter                          # do source validation by reversed path (Recommended option for single homed hosts)
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects                     # don't send redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route                # don't accept packets with SRR option

# запрещаем все
/sbin/iptables -P INPUT   DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT  DROP

# accept everything from loopback
/sbin/iptables -A INPUT  -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# drop Bad Guys
/sbin/iptables -A INPUT -m recent --rcheck --seconds 60 -m limit --limit 10/second -j DROP

# Отключаем сканер портов
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -d any/0 -j QUEUE

# disable ping
/sbin/iptables -A INPUT  -p icmp -j DROP
# internet (established and out)
/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 10382 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 1 -j REJECT
/sbin/iptables -A INPUT -p tcp --syn --dport 2106 -m connlimit --connlimit-above 50 -j REJECT
/sbin/iptables -A INPUT -p tcp --syn --dport 10382 -m connlimit --connlimit-above 1000 -j REJECT

iptables v1.4.12.1

В чем может быть проблема?...
Очень надеюсь на Вашу помощь...


Пользователь решил продолжить мысль 15 Ноябрь 2011, 10:18:33:
Так же советовали убрать
/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 10382 -j ACCEPT
То тогда вообще не конектит...
« Последнее редактирование: 15 Ноябрь 2011, 10:18:33 от r2max »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« Ответ #1 : 15 Ноябрь 2011, 13:48:48 »
Цитировать
/sbin/iptables -A INPUT -m recent --rcheck --seconds 60 -m limit --limit 10/second -j DROP
- это работать должным образом не будет без правила с параметром --set
Цитировать
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -d any/0 -j QUEUE
- это при этом
Цитировать
echo 0 > /proc/sys/net/ipv4/ip_forward                                  # disable Packet forwarning between interfaces
, а также при этом
Цитировать
/sbin/iptables -P FORWARD DROP
- не имеет смыла, и работать не будет
Цитировать
/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 10382 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 1 -j REJECT
/sbin/iptables -A INPUT -p tcp --syn --dport 2106 -m connlimit --connlimit-above 50 -j REJECT
/sbin/iptables -A INPUT -p tcp --syn --dport 10382 -m connlimit --connlimit-above 1000 -j REJECT
при таком порядке правил -  до последних трех пакеты не дойдут никогда. и поэтому
Цитировать
Ребят, не работает connlimit...
то есть лимит ставлю - а лимита нету (никаких ошибок не выводит)


Пользователь решил продолжить мысль 15 Ноябрь 2011, 14:07:45:

Цитировать
/sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 1 -j REJECT
/sbin/iptables -A INPUT -p tcp --syn --dport 2106 -m connlimit --connlimit-above 50 -j REJECT
/sbin/iptables -A INPUT -p tcp --syn --dport 10382 -m connlimit --connlimit-above 1000 -j REJEC
и какова цель такого извращения?
Цитировать
Так же советовали убрать
Код: [Выделить]

/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 10382 -j ACCEPT

То тогда вообще не конектит...
и еще вероятно ты не правильно понимаешь принцип работы этого модуля
« Последнее редактирование: 15 Ноябрь 2011, 14:07:45 от xeon_greg »

Оффлайн r2max

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« Ответ #2 : 17 Ноябрь 2011, 01:17:37 »
Честно говоря я очень плохо знаю iptables
но появилась очень большая срочность защитить свой не большой сервер...
В общем на порт 2106 идет DDoS атака типа flood с 14000+ подкчелючений...
Этот порт прослушивает Java приложение, и оно просто "падает" изза такого количества рандомных пакетов.

Какие есть варианты?...

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« Ответ #3 : 17 Ноябрь 2011, 12:03:12 »
если к приложению подключаются известные клиенты с известных ip , то отфильтровать по ip, иначе при ддосе и даже при настроенной защите от ддоса, хотя как таковой такой защиты и нет, все упирается в толщину канала и мощность железа, реальные клиенты все равно не подключатся

alexxnight

  • Гость
Re: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« Ответ #4 : 17 Ноябрь 2011, 13:22:15 »
Если у Вас идет syn flood (скорее всего он), то при 14К+ попыток подключений в сек. (это примерно 7Мб/с) имея канал более или равно 10Мб/с вполне реально его отфильтровать...
Посмотрите hashlimit, iplimit, recent...


Оффлайн r2max

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« Ответ #5 : 17 Ноябрь 2011, 22:11:41 »
Канал 100 мегабит 12 гиг оперативы, 4 ядра по 2.4, 2 SATA RAID по 1.5 терабайта

сейчас использую такой набор правил

#!/bin/bash

/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F

# other network protection
#/usr/src/linux/Documenation/filesystems/proc.txt
#/usr/src/linux/Documenation/networking/ip-sysctl.txt
#Далее в скобках указаны значения по умолчанию для 2.2.x/2.4.x ядер.
#Если ядро собрано с CONFIG_SYNCOOKIES для защиты от syn флуда (net.ipv4.tcpsyn_cookies)
echo 1 > /proc/sys/net/ipv4/tcp_syncookies #(0/0)
#Увеличиваем размер backlog очереди (аналог sysctl net.ipv4.tcp_max_syn_backlog).   
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog  #(128/1024)
#Число начальных SYN и SYNACK пересылок для TCP соединения (лучше не трогать).
echo 4 > /proc/sys/net/ipv4/tcp_synack_retries #(x/5)
echo 4 > /proc/sys/net/ipv4/tcp_syn_retries #(10/5)
#Какие порты использовать в качестве локальных TCP и UDP портов (sysctl net.ipv4.ip_local_port_range).
#echo "16384 61000" > /proc/sys/net/ipv4/ip_local_port_range #(1024 4999/32768 61000)
#Сколько секунд ожидать приема FIN до полного закрытия сокета.
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout #(180/60)
#Как часто посылать сообщение о поддержании keep alive соединения.
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time #(7200/7200)
#Сколько пакетов проверки keepalive посылать, прежде чем соединение будет закрыто.
echo 2 > /proc/sys/net/ipv4/tcp_keepalive_probes #(9/9)
#Запрещаем TCP window scaling (net.ipv4.tcp_window_scaling)
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling #(1/1)
#Запрещаем selective acknowledgements, RFC2018 (net.ipv4.tcp_sack).
echo 0 > /proc/sys/net/ipv4/tcp_sack #(1/1)
#Запрещаем TCP timestamps, RFC1323 (net.ipv4.tcp_timestamps)
echo 0  > /proc/sys/net/ipv4/tcp_timestamps #(1/1)
#Увеличиваем размер буфера для приема и отправки данных через сокеты.
echo 1048576 > /proc/sys/net/core/rmem_max #(65535/autotune)
echo 1048576 > /proc/sys/net/core/rmem_default #(65535/autotune)
echo 1048576 > /proc/sys/net/core/wmem_max #(65535/autotune)
echo 1048576 > /proc/sys/net/core/wmem_default #(65535/autotune)
#Если не требуется форвадинг пакетов (машина не рутер) выключаем.
#(net.ipv4.ip_forward и  net.ipv4.conf.all.forwarding)
echo 0 > /proc/sys/net/ipv4/ip_forward #(0/0)
echo 0 > /proc/sys/net/ipv4/conf/all/forwarding #(0/0)
#Через какое время убивать соединеие закрытое на нашей стороне (net.ipv4.tcp_orphan_retries)
echo 1 > /proc/sys/net/ipv4/tcp_orphan_retries #(x/7)
   
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts                 # ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians                       # log packets with impossible addresses to kernel log
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses           # disable logging of bogus responses to broadcast frames
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter                          # do source validation by reversed path (Recommended option for single homed hosts)
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects                     # don't send redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route                # don't accept packets with SRR option

# запрещаем все
/sbin/iptables -P INPUT   DROP
/sbin/iptables -P OUTPUT  DROP

# accept everything from loopback
/sbin/iptables -A INPUT  -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# internet (established and out)
/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT
/sbin/iptables -A INPUT  -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# disable ping
/sbin/iptables -A INPUT  -p icmp -j DROP
# Защита системы
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j REJECT
/sbin/iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j REJECT
/sbin/iptables -A INPUT   -m state --state INVALID -j REJECT
/sbin/iptables -A FORWARD -m state --state INVALID -j REJECT

/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 1 -j REJECT
# Открываем порт логина
/sbin/iptables -A INPUT -p tcp --dport 2106 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --syn --dport 2106 -j REJECT -m connlimit --connlimit-above 10
/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 2106 -m recent --update --seconds 2 -j REJECT
/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 2106 -m recent --set -j ACCEPT

# Открываем порт гейма
/sbin/iptables -A INPUT -p tcp --dport 10382 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --syn --dport 10382 -j REJECT -m connlimit --connlimit-above 20
/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 10382 -m recent --update --seconds 2 -j REJECT
/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 10382 -m recent --set -j ACCEPT

Можно ли как то оптимизировать последние два (имею ввиду правила для порта 10382 и 2106)

alexxnight

  • Гость
Re: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« Ответ #6 : 17 Ноябрь 2011, 22:35:16 »
конечно можно...
я бы Вам рекомендовал создать отдельную цепочку правил, где, не смотря на номер порта, отбрасывать все соединения похожие на flood...

и если бы Вы выложили под спойлер результат команды iptables-save, к этому обсуждению еще бы кто-нибудь присоединился :)

Оффлайн r2max

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« Ответ #7 : 17 Ноябрь 2011, 22:50:16 »
Результат выполнения команды iptables-save
luna279:~/era/game# iptables-save
# Generated by iptables-save v1.4.12.1 on Thu Nov 17 22:42:57 2011
*mangle
:PREROUTING ACCEPT [2542646:159966090]
:INPUT ACCEPT [2542605:159958109]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2873852:1635920342]
:POSTROUTING ACCEPT [2873851:1635920302]
COMMIT
# Completed on Thu Nov 17 22:42:57 2011
# Generated by iptables-save v1.4.12.1 on Thu Nov 17 22:42:57 2011
*nat
:PREROUTING ACCEPT [6827:647132]
:INPUT ACCEPT [1211:60960]
:OUTPUT ACCEPT [306:13579]
:POSTROUTING ACCEPT [306:13579]
COMMIT
# Completed on Thu Nov 17 22:42:57 2011
# Generated by iptables-save v1.4.12.1 on Thu Nov 17 22:42:57 2011
*filter
:INPUT DROP [2822:441641]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:lim1 - [0:0]
-A INPUT -p tcp -m tcp --dport 10382 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 20 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 2106 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 2 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state INVALID -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2106 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2106 -m recent --update --seconds 2 --name DEFAULT --rsource -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2106 -m recent --set --name DEFAULT --rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10382 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10382 -m recent --update --seconds 2 --name DEFAULT --rsource -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10382 -m recent --set --name DEFAULT --rsource -j ACCEPT
-A FORWARD -m state --state INVALID -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Nov 17 22:42:57 2011

Так же описание железа
lspci
luna279:~/era/game# lspci
00:00.0 Host bridge: Advanced Micro Devices [AMD] RS880 Host Bridge
00:01.0 PCI bridge: Fujitsu Technology Solutions Device 9602
00:0a.0 PCI bridge: Advanced Micro Devices [AMD] RS780/RS880 PCI to PCI bridge (PCIE port 5)
00:11.0 SATA controller: ATI Technologies Inc SB7x0/SB8x0/SB9x0 SATA Controller [AHCI mode]
00:12.0 USB Controller: ATI Technologies Inc SB7x0/SB8x0/SB9x0 USB OHCI0 Controller
00:12.1 USB Controller: ATI Technologies Inc SB7x0 USB OHCI1 Controller
00:12.2 USB Controller: ATI Technologies Inc SB7x0/SB8x0/SB9x0 USB EHCI Controller
00:13.0 USB Controller: ATI Technologies Inc SB7x0/SB8x0/SB9x0 USB OHCI0 Controller
00:13.1 USB Controller: ATI Technologies Inc SB7x0 USB OHCI1 Controller
00:13.2 USB Controller: ATI Technologies Inc SB7x0/SB8x0/SB9x0 USB EHCI Controller
00:14.0 SMBus: ATI Technologies Inc SBx00 SMBus Controller (rev 3c)
00:14.1 IDE interface: ATI Technologies Inc SB7x0/SB8x0/SB9x0 IDE Controller
00:14.3 ISA bridge: ATI Technologies Inc SB7x0/SB8x0/SB9x0 LPC host controller
00:14.4 PCI bridge: ATI Technologies Inc SBx00 PCI to PCI Bridge
00:18.0 Host bridge: Advanced Micro Devices [AMD] Family 10h Processor HyperTransport Configuration
00:18.1 Host bridge: Advanced Micro Devices [AMD] Family 10h Processor Address Map
00:18.2 Host bridge: Advanced Micro Devices [AMD] Family 10h Processor DRAM Controller
00:18.3 Host bridge: Advanced Micro Devices [AMD] Family 10h Processor Miscellaneous Control
00:18.4 Host bridge: Advanced Micro Devices [AMD] Family 10h Processor Link Control
01:05.0 VGA compatible controller: ATI Technologies Inc RS880 [Radeon HD 4200]
01:05.1 Audio device: ATI Technologies Inc RS880 Audio Device [Radeon HD 4200]
02:00.0 Ethernet controller: Broadcom Corporation NetLink BCM57780 Gigabit Ethernet PCIe (rev 01)

Процессор
luna279:~/era/game# lscpu
Architecture:          x86_64
CPU op-mode(s):        64-bit
CPU(s):                4
Thread(s) per core:    1
Core(s) per socket:    4
CPU socket(s):         1
NUMA node(s):          1
Vendor ID:             AuthenticAMD
CPU family:            16
Model:                 5
Stepping:              3
CPU MHz:               2295.059
Virtualization:        AMD-V
L1d cache:             64K
L1i cache:             64K
L2 cache:              512K

Повторюсь, оперативной памяти 12Gb.
Канал 100bm.
На порту 80 стоит вебсервер, посещаемость - 3к хостов в 24 часа. (где то 100 юзеров одновременно, иногда и 300, но в основном меньше 100).
На порту 2106 стоит сервер авториации. Его задача - проверить логин и пароль клиента. (думаю больше 5 одновременных конектов к нему не надо).
На порту 10382 стоит основной сервер. К нему может быть и до 1000 одновременных подключений.
Все пакеты на порте 2106 идут в BlowFish шифровании + еще кое что ;)
На 10382 все пакеты защифрованы кое каким ключем, xor

Вроде всё что мог сказать - сказал ))))

alexxnight

  • Гость
Re: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« Ответ #8 : 18 Ноябрь 2011, 10:49:34 »
(таблица filter)
Вы пока цепочку OUTPUT сделайте по умолчанию ACCEPT и правила на нее уберите. Потом когда заработает, можете поэксперементировать.

У Вас порт 22 не защищен от flood:
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Логическая ошибка:
-A INPUT -p tcp -m tcp --dport 2106 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2106 -m recent --update --seconds 2 --name DEFAULT --rsource -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2106 -m recent --set --name DEFAULT --rsource -j ACCEPT

первое правило отработает, до сл. не дойдет. Да и смысл: Вы вверху делаете connlimit, а ниже recent. Идея какая была?

Тоже самое с портом 10382

Цепочку FORWARD тоже можно пока не трогать: сделайте ACCEPT по умолчанию.

Да,и Вы цепочку отдельную создали для фильтра, а она пустая...

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: IPTABLES + CONNLIMIT Ubuntu Server 10.04 Kernel 2.6.39.4
« Ответ #9 : 18 Ноябрь 2011, 12:57:27 »
подсказка: iptables-save -c и по счетчику пакетов (в квадратных скобках) будешь видеть в какие правила попадают пакеты , а до каких не доходят, если пока не сильно разбираешься в порядке правил.

 

Страница сгенерирована за 0.123 секунд. Запросов: 26.