Форум русскоязычного сообщества Ubuntu


Автор Тема: connlimit iptables помогите настроить  (Прочитано 552 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн flash8ack

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
connlimit iptables помогите настроить
« : 29 Июль 2017, 22:35:08 »
Не могу настроить connlimit, если добавляю это правило то не пускает на 25565 вообще. По умолчанию цепочка INPUT имеет правило DROP. Ниже правила iptables. Пожалуйста помогите.

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 25565 -m connlimit --connlimit-above 2 -j REJECT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
« Последнее редактирование: 29 Июль 2017, 22:44:35 от flash8ack »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27434
    • Просмотр профиля
Re: connlimit iptables помогите настроить
« Ответ #1 : 30 Июль 2017, 02:04:23 »
1. iptables-save
2. Последнее правило нормально ставится первым.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн flash8ack

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: connlimit iptables помогите настроить
« Ответ #2 : 30 Июль 2017, 04:20:42 »
1. iptables-save
2. Последнее правило нормально ставится первым.
Не работает, применяет он сразу после добавления правила, connlimit работает только если политика всей цепочки ACCEPT но если она DROP то мой случай, подскажите пожалуйста как настроить connlimit в случае iptables -P INPUT DROP

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27434
    • Просмотр профиля
Re: connlimit iptables помогите настроить
« Ответ #3 : 30 Июль 2017, 04:27:54 »
Прочитайте моё сообщение ещё раз…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн flash8ack

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: connlimit iptables помогите настроить
« Ответ #4 : 30 Июль 2017, 04:40:46 »
Прочитайте моё сообщение ещё раз…

Цитировать
# Generated by iptables-save v1.6.0 on Sun Jul 30 04:37:52 2017
*raw
:PREROUTING ACCEPT [2045458:295992526]
:OUTPUT ACCEPT [2426526:487835330]
COMMIT
# Completed on Sun Jul 30 04:37:52 2017
# Generated by iptables-save v1.6.0 on Sun Jul 30 04:37:52 2017
*nat
:PREROUTING ACCEPT [971:44139]
:INPUT ACCEPT [682:29690]
:OUTPUT ACCEPT [879:73228]
:POSTROUTING ACCEPT [879:73228]
COMMIT
# Completed on Sun Jul 30 04:37:52 2017
# Generated by iptables-save v1.6.0 on Sun Jul 30 04:37:52 2017
*mangle
:PREROUTING ACCEPT [2045458:295992526]
:INPUT ACCEPT [2045458:295992526]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2426528:487835922]
:POSTROUTING ACCEPT [2426528:487835922]
COMMIT
# Completed on Sun Jul 30 04:37:52 2017
# Generated by iptables-save v1.6.0 on Sun Jul 30 04:37:52 2017
*filter
:INPUT DROP [34:1380]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13972:1946007]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25565 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 1 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Jul 30 04:37:52 2017



Пользователь добавил сообщение 30 Июль 2017, 04:55:15:
Прочитайте моё сообщение ещё раз…
не совсем понял, вывод iptables-save показал, а последнее правило задает политику для цепочки INPUT, включается после настройки все правил выше, что бы не потерять связь, по дефолту Chain OUTPUT (policy ACCEPT), или вы про ESTABLISHED,RELATED, но я его передвинул, ситуация не изменилась.
« Последнее редактирование: 30 Июль 2017, 04:55:16 от flash8ack »

alexxnight

  • Гость
Re: connlimit iptables помогите настроить
« Ответ #5 : 30 Июль 2017, 14:53:00 »
У Вас нет разрешающего правила на порт 25565.
Посоветую еще поменять модуль
-m conntrack --ctstate RELATED,ESTABLISHED

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27434
    • Просмотр профиля
Re: connlimit iptables помогите настроить
« Ответ #6 : 30 Июль 2017, 19:11:44 »
последнее правило задает политику
Я имел в виду именно правило, а не политику по умолчанию, и вывод iptables-save не согласуется с теми правилами, что вы приводили.
Ну и как верно заметили, у вас нехватает правила, разрешающего подключения на 25565.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.081 секунд. Запросов: 25.