Закрыть все порты, кроме...

[.ubuntufan]

По правилам программирования netfilter

Охлол
Senior iptables developer

Для бесед о тьюринг-неполноте правил нетфильтра у нас есть беседка, у тут предупреждаю по 2.3 - Дмитрий Бо

[alexxnight]

По правилам программирования netfilter

Охлол
Senior iptables developer

Не понял.

[fisher74]

netfilter админы не программируют. Его программируют разработчики.
А админы ему только правила загружают средствами iptables

[alexxnight]

Верно, есть разработчики (программисты) netfilter.
админы с помощью специального языка программирования (который, кстати никак не назван?) пишут код для исполнения netfilter, т.е. занимаются программированием в режиме интерпритации команд. И передают их с помощью iptables*.

Где я ошибся?

[fisher74]

Ну, если жёстко прицепиться к определению слова "программирование", то толика правды есть в Ваших словах.
По факту это просто загрузка правил в netfilter средствами iptables.

[koshev]

Охлол
Senior iptables developer

Почему сеньору весело?
Программирование — задание алгоритма действий.
Это справедливо как для составления исходного кода приложения, так и для "загрузки правил" aka setting's.

[.ubuntufan]

В широком смысле толкования этого термина - возможно. Но вы не можете реализовать произвольный алгоритм используя правила iptables. Здесь больше подходит термин конфигурирование. А предмет нашего разговора в данном контексте выглядит также неестественно как называть сборку мебели его производством (чем оно также является в широком смысле).

[_art_]

А как на счет такого правила ?

Код: [Выделить]

# The following iptables rule will help you prevent the Denial of Service (DoS) attack on your webserver.
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT


[Дмитрий Бо]

_art_,
это помогает от DoS HTTP-сервера. Если какашка хочет положить наш апач, то мы подропаем его пакеты на уровне сети. Есть какашка хочет положить нашу сеть, то он таки её положит.

[alexxnight]

А как на счет такого правила ?

Код: [Выделить]

# The following iptables rule will help you prevent the Denial of Service (DoS) attack on your webserver.
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT


А что это правило делает? Не поймите меня не правильно, я знаю эти команды. Мне логика не ясна.

[_art_]

А как на счет такого правила ?

Код: [Выделить]

# The following iptables rule will help you prevent the Denial of Service (DoS) attack on your webserver.
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT


А что это правило делает? Не поймите меня не правильно, я знаю эти команды. Мне логика не ясна.

In the above example:

    -m limit: This uses the limit iptables extension
    –limit 25/minute: This limits only maximum of 25 connection per minute. Change this value based on your specific requirement
    –limit-burst 100: This value indicates that the limit/minute will be enforced only after the total number of connection have reached the limit-burst level.

Вам перевести ?

[alexxnight]

Это правило составлено не верно. Или не полностью.
Вот в английском тексте, который Вы привели, логика ясна...