HOWTO: Iptables для новичков

[Ballu]

Начнём с того, что этот вопрос нужно было создавать отдельным топиком, и совершенно не в этом разделе.
А по самому вопросу... Вам что, мало роутера?

Считаю, что слова "Iptables для новичков" вполне подходят для моего вопроса. И не хотел захломлять форум...
Я не спец. Простой юзер, который решил перебраться на линукс.
Роутер тож можно обойти...
Нужно ли принимать доп меры по безопасности системы ubuntu 12.04 ?   Какие меры рекомендуете ?

[thunderamur]

Сидим дома, через роутер три компа

не парься, ты за NATом роутера.
Пользователь решил продолжить мысль 04 Августа 2012, 19:28:17:

Роутер тож можно обойти...

а твои попытки "сделать лучше" тем более.

Кстати, не подскажешь, как пробить роутер, где не лазил вумный шибко хомячок, просто со стоковыми настройками, кроме паролей конечно.

[AnrDaemon]

(Нажмите, чтобы показать/скрыть)

Даже с паролями, в стоке доступ к вебморде через WAN заблокирован на 99,(9)% роутеров.

[thunderamur]

AnrDaemon,
таки и я о том же! потому и написал "где не лазил вумный...".
Пользователь решил продолжить мысль 05 Августа 2012, 07:20:56:просто бывает ещё вафля у людей... не закрытая.

[Ballu]

Спасибо Всем, упокоили.
Просто, помница лазил с винды на винду через PStools, без особого труда. И роутер не спасал.

[AnrDaemon]

Спасибо Всем, упокоили.
Просто, помница лазил с винды на винду через PStools, без особого труда. И роутер не спасал.

Простите, а как роутер может помешать чему-то, происходящему внутри сети?

[Ballu]

Спасибо Всем, упокоили.
Просто, помница лазил с винды на винду через PStools, без особого труда. И роутер не спасал.

Простите, а как роутер может помешать чему-то, происходящему внутри сети?

Он был не внутри сети! В другом городе. 
На всякий случай PStools - бесплатный и легальный комплект для удаленного администрирования.

[AnrDaemon]

Данных недостаточно. И это тема не для этого топика и вообще не для этого форума.

[delovoy]

Доброе время суток! Нахожусь в процессе изучения iptables и возник вопрос.
Нужно запретить отвечать на запрос (в моем случае ограничить по времени ответ от сервера на запрос клиента, при условии, что клиент пингует сервер)

На удаленном хосте:
Правило:  iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 30/second --limit-burst 1 -j DROP

Но пинги как шли, так и идут. В чем загвоздка? Правило верно составлено?

[AnrDaemon]

А вы на русский своё правило переведите. Может, понятнее станет.

[delovoy]

iptables
-A - добавить в начало
INPUT - цепочка в таблице filter
-p icmp - указал протокол
--icmp-type echo-reply - указал тип пакета (утилита ping использует именно этот тип, насколько мне известно)
-m limit - явно указал критерий лимит
--limit 30/second - время через которое будет опустошатся бочка (ниже про бочку)
--limit-burst 1 - это и есть моя бочка, воображаемая
-j DROP - дропаю пакет, если он бочка заполнена

Получается, в бочке 1 место, приходит 1 запрос от клиента, бочка заполняется, затем сервер не отвечает на второй пакет пока не освободиться бочка, бочка освобождается каждые 30 секунд в этом примере.

Эту команду взял с учебника по таблицам. Если не затруднит, объясните что я не так понял.

[AnrDaemon]

Неверно.
--limit 30/second - ограничить прохождение пакетов до 30 штук в секунду.
ping нормально не посылает больше одного запроса в секунду.
И смысл вашего правила??...

[delovoy]

По вашим разъяснениям выходит все по другому - благодарю

Вырезка из учебника:

(Нажмите, чтобы показать/скрыть)

От переводчика: Очень долгое время мое понимание критериев limit находилось на интуитивном уровне, пока Владимир Холманов (снимаю шляпу в глубочайшем поклоне) не объяснил мне просто и понятно его суть. Постараюсь передать его пояснения:

Расширение -m limit подразумевает наличие ключей --limit и --limit-burst. Если вы не указываете эти ключи, то они принимают значение по-умолчанию.

Ключ --limit-burst - это максимальное значение счетчика пакетов, при котором срабатывает ограничение.
Ключ --limit - это скорость, с которой счетчик burst limit "откручивается назад".

И смысл вроде другой в учебнике.

[AnrDaemon]

Вообще бред написан. Какая может быть скорость, когда ничего никуда не движется?
--limit количество/время - будет пропускаться не более количества пакетов за время. При превышении сработает проверка.
--limit-burst количество - будет пропущено как минимум это количество пакетов до срабатывания условия.

Пример:
--limit 30/second --limit-burst 50 - будет пропускаться не более 30 пакетов в секунду, с пиковой нагрузкой 50 пакетов. Т.е. первые 50 пакетов будут пропущены в любом случае. Если в течение следующей секунды ни одного пакета не случилось, эти 50 пакетов окажутся "размазаны" по двухсекундному интервалу и ограничение частоты пропускания не сработает.

Пример из вашего вопроса (правильный):
--limit 30/hour --limit-burst 4 - бдет пропускаться до 30 пакетов в час, при этом первые 4 пакета почти гарантированно будут пропущены (M$ ping по умолчанию пингует 4-мя пакетами.)

[delovoy]

Благодарю за ясное разъяснение. Применил именное правило.

iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 120/hour --limit-burst 4 -j DROP

Получается, пропускаем первые 4 пакета сразу, затем пропускаем пакеты через каждые 30 секунд.

Но все равно правило не работает. Пойду читать, может что и упустил.

# iptables -v
iptables v1.4.10 и v1.4.4: