[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[AnrDaemon]

Простите, что-что?
Забудьте на минутку слово "iptables", и сформулируйте задачу нормальным русским языком.

[nik_user]

т.е. в инете есть сайт (компьютер-сервер) имеет статический IP, чтоб только он имел доступ на внутренний компьютер, через сервер

[fisher74]

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -s  ХХ.ХХ.ХХ.ХХ -i eth0 --dport 80 -j DNAT --to-destination 192.168.10.1:8081
P.S. И казалось бы... при чём здесь CONNLIMIT?

[nik_user]

так тут как я понял, здесь указываю XXX свои IP
а мне нежно чтоб мог подрубаться только тот  в инете удаленный ком, а не каждый любой

[fisher74]

Вы не правильно поняли. Вы бы хотя чуть-чуть про опции почитали.

[xganet]

при выполнении

Код: [Выделить]

root@40799:~# iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 30 -j REJECT
iptables: Invalid argument. Run `dmesg' for more information.
Что не так подскажите?  Замучил флуд с одного ip по 1000-2000 конектов одновременно, ip динамический у многих, сейчас забанил подсеть, но это не вариант.
И будет ли такое правило срабатывать автоматически при превышении 30 коннектов одновременного для каждого ip?

Код: [Выделить]

root@40799:~# dmesg | tail -n 10
ip_tables: connlimit match: invalid size 24 != 32
ip_tables: connlimit match: invalid size 24 != 32
ip_tables: connlimit match: invalid size 24 != 32
ip_tables: connlimit match: invalid size 24 != 32

Проблема прояснилась у меня OpenVZ не поддерживает этот модуль

[Maulder]

они идут попорядку.
1)iptables -A INPUT -s 192.168.1.134  -m string --string "vkontakte" --algo kmp --to 65535 -j DROP---вот эта строчка работает

2)iptables -A INPUT ! -s 192.168.1.131 -m string --string "video" --algo kmp --to 65535 -j DROP---эта нет вчем ошибка...

да и как сделать такое же правило 1 для eth0

[ivsatel]

Пожалуйста подскажите/объясните почему не отрабатывает правило:

Код: [Выделить]

-A INPUT -s 192.168.1.2/192.168.1.254 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j LOG --log-prefix "iptLimInTCP0: "
-A INPUT -s 192.168.1.2/192.168.1.254 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j DROP
-A FORWARD -s 192.168.1.2/192.168.1.254 -o eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j LOG --log-prefix "iptLimFrTCP1: "
-A FORWARD -s 192.168.1.2/192.168.1.254 -o eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j DROP

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Mon Aug 15 19:45:58 2011
*nat
:PREROUTING ACCEPT [22821:1401293]
:POSTROUTING ACCEPT [14453:942417]
:OUTPUT ACCEPT [14453:942417]
-A PREROUTING ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Mon Aug 15 19:45:58 2011
# Generated by iptables-save v1.4.12 on Mon Aug 15 19:45:58 2011
*mangle
:PREROUTING ACCEPT [1742056:1398528108]
:INPUT ACCEPT [1194219:1087565449]
:FORWARD ACCEPT [546257:310869137]
:OUTPUT ACCEPT [1298352:1165856440]
:POSTROUTING ACCEPT [1841750:1476540867]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Aug 15 19:45:58 2011
# Generated by iptables-save v1.4.12 on Mon Aug 15 19:45:58 2011
*filter
:INPUT ACCEPT [782523:1059474423]
:FORWARD ACCEPT [543399:310684702]
:OUTPUT ACCEPT [1295408:1165374245]
-A INPUT -d 192.168.1.0/24 -i ppp1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 192.168.1.0/24 -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.2/192.168.1.254 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j LOG --log-prefix "iptLimInTCP0: "
-A INPUT -s 192.168.1.2/192.168.1.254 -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j DROP
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 10000 -j LOG --log-prefix "ipt10000P0: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 10000 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 10000 -j LOG --log-prefix "ipt10000P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 10000 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 2002 -j LOG --log-prefix "ipt2002P0: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 2002 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 2002 -j LOG --log-prefix "ipt2002P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 2002 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ipt22P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 22 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ipt22P2: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 22 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 23 -j LOG --log-prefix "ipt23P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 23 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 23 -j LOG --log-prefix "ipt23P2: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 23 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j LOG --log-prefix "ipt21P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j LOG --log-prefix "ipt20P1: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j LOG --log-prefix "ipt21P1: "
-A INPUT -i ppp1 -p tcp -m state --state NEW -m tcp --dport 21 -j REJECT --reject-with tcp-reset
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j LOG --log-prefix "ipt20P1: "
-A INPUT -i ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j REJECT --reject-with tcp-reset
-A INPUT -i lo -j ACCEPT
-A FORWARD -m state --state INVALID -j LOG --log-prefix "iptInvalid: "
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p icmp -f -j LOG --log-prefix "iptICMP: "
-A FORWARD -p icmp -f -j DROP
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j LOG --log-prefix "iptFludLim: "
-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
-A FORWARD -p icmp -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j LOG --log-prefix "iptFlud: "
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j QUEUE
-A FORWARD -s 192.168.1.2/192.168.1.254 -o eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j LOG --log-prefix "iptLimFrTCP1: "
-A FORWARD -s 192.168.1.2/192.168.1.254 -o eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 80 --connlimit-mask 32 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Mon Aug 15 19:45:58 2011

[fisher74]

-s 192.168.1.2/192.168.1.254

Поясните, что Вы имели ввиду этим условием?

[ivsatel]

Источник из диапазона. Не правильно?
И исходя из этого немного не понятно почему --connlimit-mask 32 Ведь у мой подсети маска 24. Тут я правильно понимаю?

[fisher74]

Нет, не правильно. После слеша пишется битовая маска (под)сети

[ivsatel]

Тогда выражение -s 192.168.1.0/24 включит в себя и адрес 192.168.1.1 думаю это не хорошо, я в правильном направлении думаю? Потому что хотелось задать адреса диапазоном, а не вводя правило от 1 до 254

[fisher74]

И чем Вам 192.168.1.1 не угодил в этих правилах?

[ivsatel]

Это eth0 (шлюз)
Получится -s eth0 -i eth0 как то не очень правильно выглядит.

[fisher74]

Пакеты от шлюза (-s) через собственные цепочки INPUT и FORWARD, в нормальных случаях, не пойдут.