[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[coolman]

короче че хочу, есть правило, все новые соединения принимаются через --hashlimit-upto все что превышает через hashlimit-burst переходит в пользовательскую цепочку, в которой надо сделать замер, примеру, если идет превышение в течении 15 секунд ip уходит в set в DEFAULT файл(в пользовательской цепочки временно используется с другим названием файл)
так вот я хотел сделать, что бы все что превышает 15 секунд удалялось автоматом, ибо если превышение не будет доходит до 15 секунд, то Ip не удалится из временного файла и при следующем превышением сразу попадает в бан не проходя процедуру в 15 секунд.
надеюсь выразился понятно smile:D
если нарушитель проходит всю процедуру в 15 секунд, идет правило при котором пользовательская цепочка очищается, а DEFAULT заполняется, я новичок, но по другому не знаю как реализовать smile:)

[DIMOK48]

Как можно выполнить эти две команды:
iptables -t mangle -A OUTPUT -s 172.20.132.91 -p tcp --sport 80 -j ROUTE --oif eth1
iptables -t mangle -A OUTPUT -s 81.20.199.2 -p tcp --sport 80 -j ROUTE --oif ppp0
или
iptables -t mangle -A OUTPUT -s 172.20.132.91 -p tcp --sport 80 -j ROUTE --gw 172.20.132.65
iptables -t mangle -A OUTPUT -s 81.20.199.2 -p tcp --sport 80 -j ROUTE --gw 81.20.199.14
не хочет...

[AnrDaemon]

Расшифруй "не хочет". Компьютер - неодушевлённый предмет, хотеть и любить не может.

[DIMOK48]

Расшифруй "не хочет". Компьютер - неодушевлённый предмет, хотеть и любить не может.

lmp-server@lmp-server:~$ iptables -t mangle -A OUTPUT -s 172.20.132.91 -p tcp --sport 80 -j ROUTE --oif eth1
iptables v1.4.9: unknown option `--oif'
Try `iptables -h' or 'iptables --help' for more information.
lmp-server@lmp-server:~$ iptables -t mangle -A OUTPUT -s 81.20.199.2 -p tcp --sport 80 -j ROUTE --oif ppp0
iptables v1.4.9: unknown option `--oif'
Try `iptables -h' or 'iptables --help' for more information.
lmp-server@lmp-server:~$ itables -t mangle -A OUTPUT -s 172.20.132.91 -p tcp --sport 80 -j ROUTE --gw 172.20.132.65
No command 'itables' found, did you mean:
 Command 'iptables' from package 'iptables' (main)
itables: command not found
lmp-server@lmp-server:~$ iptables -t mangle -A OUTPUT -s 81.20.199.2 -p tcp --sport 80 -j ROUTE --gw 81.20.199.14
iptables v1.4.9: unknown option `--gw'
Try `iptables -h' or 'iptables --help' for more information.
lmp-server@lmp-server:~$
Сообственно вот.

[AnrDaemon]

Тебе ясным английским языком сказали: iptables v1.4.9: unknown option `--oif'
Чего ради дальше было долбиться? Вернись и почитай документацию. Включи нужные модули.

[DIMOK48]

Тебе ясным английским языком сказали: iptables v1.4.9: unknown option `--oif'
Чего ради дальше было долбиться? Вернись и почитай документацию. Включи нужные модули.

Как включить нужные модули? Разве иптаблес недостаточно? я пробовал 2 разных варианта, не один из них не прокатил, например какие нужны модули?

[fisher74]

А документацию уже почитал? Уверен, что есть действие ROUTE и опция "--oif"?

[DIMOK48]

А документацию уже почитал? Уверен, что есть действие ROUTE и опция "--oif"?

Читал, в старых версиях было... тут почемуто не прокатывает, на фряхе тоже работает.

[coolman]

Как можно выполнить эти две команды:
iptables -t mangle -A OUTPUT -s 172.20.132.91 -p tcp --sport 80 -j ROUTE --oif eth1
iptables -t mangle -A OUTPUT -s 81.20.199.2 -p tcp --sport 80 -j ROUTE --oif ppp0
или
iptables -t mangle -A OUTPUT -s 172.20.132.91 -p tcp --sport 80 -j ROUTE --gw 172.20.132.65
iptables -t mangle -A OUTPUT -s 81.20.199.2 -p tcp --sport 80 -j ROUTE --gw 81.20.199.14
не хочет...

В iptables 1.4.9

Добавлена поддержка действия TEE, позволяющего выполнять зеркалирование определенного трафика на заданный хост. Например,

iptables -t mangle -A PREROUTING -i eth0 -j TEE --gateway 192.168.0.2

обеспечит копирование всего входящего через eth0 трафика и отправку его копии на хост 192.168.0.2 (хост-получатель должен находиться в одном сегменте сети с нашим хостом).




ой походу дела ты не то хотел

[DIMOK48]

Как можно выполнить эти две команды:
iptables -t mangle -A OUTPUT -s 172.20.132.91 -p tcp --sport 80 -j ROUTE --oif eth1
iptables -t mangle -A OUTPUT -s 81.20.199.2 -p tcp --sport 80 -j ROUTE --oif ppp0
или
iptables -t mangle -A OUTPUT -s 172.20.132.91 -p tcp --sport 80 -j ROUTE --gw 172.20.132.65
iptables -t mangle -A OUTPUT -s 81.20.199.2 -p tcp --sport 80 -j ROUTE --gw 81.20.199.14
не хочет...

В iptables 1.4.9

Добавлена поддержка действия TEE, позволяющего выполнять зеркалирование определенного трафика на заданный хост. Например,

iptables -t mangle -A PREROUTING -i eth0 -j TEE --gateway 192.168.0.2

обеспечит копирование всего входящего через eth0 трафика и отправку его копии на хост 192.168.0.2 (хост-получатель должен находиться в одном сегменте сети с нашим хостом).




ой походу дела ты не то хотел

У меня вообщем провайдер кроет доступ, после того как впн поднимается, т.е надо чтобы ppp0 доступен был локальным пользователям... 172.20 доступен им, но когда впн поднимается там 81.20 , он тоже локалкой считается, но по этому адресу не пускает ...и пинг не проходит, а с внешки спокойно заходит, если можешь помоги, как те команды исправить... чтобы они выполнились, буду очень благодарен!!!

[coolman]

У меня вообщем провайдер кроет доступ, после того как впн поднимается, т.е надо чтобы ppp0 доступен был локальным пользователям... 172.20 доступен им, но когда впн поднимается там 81.20 , он тоже локалкой считается, но по этому адресу не пускает ...и пинг не проходит, а с внешки спокойно заходит, если можешь помоги, как те команды исправить... чтобы они выполнились, буду очень благодарен!!!

я сам чайник, но походу у тебя нету нужных модулей поставь http://xtables-addons.sourceforge.net/
сам хотел недавно, а то стринг не работает, да чет даже конфигурироваться под новое ядро не хочет

[azg]

как полностью заблокировать мак адрес на внешнем интерфейсе?
правило i
ptables -I INPUT -i eth0 -p udp --dport 53 -m mac --mac-source 11:22:33:44:55:66 -j DROP
iptables -I INPUT -i eth0 -p tcp --dport 53 -m mac --mac-source 11:22:33:44:55:66 -j DROP

не помогает

[coolman]

как полностью заблокировать мак адрес на внешнем интерфейсе?
правило i
ptables -I INPUT -i eth0 -p udp --dport 53 -m mac --mac-source 11:22:33:44:55:66 -j DROP
iptables -I INPUT -i eth0 -p tcp --dport 53 -m mac --mac-source 11:22:33:44:55:66 -j DROP

не помогает

ну если полностью то так:
iptables -I INPUT -i eth0  -m mac --mac-source 11:22:33:44:55:66 -j DROP
iptables -I INPUT -i eth0  -m mac --mac-source 11:22:33:44:55:66 -j DROP

а если к своим днс серверам то так:

iptables -I INPUT -i eth0 -p udp --dport 53 -m mac --mac-source 11:22:33:44:55:66 -j DROP
iptables -I INPUT -i eth0 -p tcp --dport 53 -m mac --mac-source 11:22:33:44:55:66 -j DROP

[Vipper]

Ребят подскажите пожалуйста.
Причитал всю ветку внимательно, но так и не смог решить свою проблему.

Имеем:

uname -a
Linux 2.6.18-194.3.1.el5.028stab069.6 #1 SMP Tue Jun 1 01:33:39 MDT 2010 i686 GNU/Linux

iptables -V
iptables v1.4.10

iptables обновил только вчера, так как вычитал тут что ядро обновлять не обязательно, достаточно обновить iptables

Проблема:
Не работают правила такие как:

iptables -A INPUT -p tcp --dport 80 -m string --string "$MyNick" --algo kmp -j DROP
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT

Отвечает: iptables: No chain/target/match by that name.

Всетаки ядро надо пересобирать с патчем? Иначе никак?
проблема стоит очень остро, ддосят 3 день.
Заранее спасибо за ответ.

[AnrDaemon]

Что за система вообще?