SYN flood

[Ввысь]

Здравствуйте.

Обнаружил сегодня netstat-ом большое количество соединений SYN_RECV. У меня в правилах есть такие строки

$iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP

Вопрос - нужно ли волноваться по этому поводу или просто забанить ip с которых долбятся и дело с концом? Может еще что добавить нужно? Спасибо.

[alexxnight]

 --tcp-flags SYN,ACK,FIN,RST RST
вначале перечисляются флаги, которые нужно проверить, затем (после пробела), те флаги, которые должны быть установлены (true), остальные сброшены (false).
У Вас: проверить флаги SYN,ACK,FIN,RST, из которых должен быть установлен только флаг RST, остальные сброшены.
Это не проверка на syn.
или так --tcp-flags SYN,RST,ACK,FIN SYN
или так --syn

На какой-то конкретно порт долбятся? или на все?

[Ввысь]

alexxnight, пока что только на 22.

На самом деле у меня есть еще такое, я их закоментил, подумал, что они друг друга дублируют.

#$iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
#$iptables -A INPUT -p tcp --syn -j DROP

Пожалуй стоит убрать решетку.

[alexxnight]

Если на 22 порт, то добавляйте это в правила, например так:
iptables -t filter -A INPUT -p tcp --syn --dport 22 -m limit и так далее

И это правило разрешит раз в секунду устанавливать новые tcp соединения.

Если уж совсем хочется сделать все правильно, то в самом начале таблицы filter цепочки INPUT
iptables -t filter -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
далее Ваши правила, и...
iptables -t filter -A INPUT -p tcp --syn --dport 22 -m conntrack --ctstate NEW -m limit --limit 1/s -j ACCEPT
и далее Ваши правила

Писал все по памяти, без проверки, проверьте сами.

[Ввысь]

alexxnight, спасибо, пойду тестить.