[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[dmsergei]

Режет SYN флуд.

Очень развёрнутый ответ - большое спасибо.

[atem32]

как разделить канал на 60 машин???
канал неизвестно какой ширины(точно известно что больше 3)
инет раздается через нат,еще висит днс дшсп самба фтп

[TrEK]

как разделить канал на 60 машин???
канал неизвестно какой ширины(точно известно что больше 3)
инет раздается через нат,еще висит днс дшсп самба фтп

это сюда https://forum.ubuntu.ru/index.php?topic=33853.0

[roma333]

Не получается ограничить число соединений c одного айпи, н-р с 192.168.0.19. Делаю так: -A INPUT -p tcp -s 192.168.0.19 --syn  -m connlimit --connlimit-above 50 -j DROP. Но, судя по netstat, ничего не ограничивается. Вывод iptables-save:

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [1355:142183]
:POSTROUTING ACCEPT [7:568]
:OUTPUT ACCEPT [128406:6402189]
-A PREROUTING -d ! 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.3:3128
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.1.22
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Dec 14 08:20:34 2009
# Generated by iptables-save v1.4.2-rc1 on Mon Dec 14 08:20:34 2009
*filter
:INPUT DROP [532:57773]
:FORWARD DROP [79:24351]
:OUTPUT ACCEPT [21162:16135124]
:sshguard - [0:0]
-A INPUT -i ppp0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 139 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 445 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 445 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j sshguard
-A INPUT -p tcp -m tcp --dport 80 -m string --string "GET /setting." --algo kmp --to 65535 -j DROP
-A INPUT -i ! ppp0 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.0.19/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP
-A FORWARD -d 192.168.0.3/32 -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.1.22/32 -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -i ppp0 -m state --state ESTABLISHED -j ACCEPT
-A sshguard -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --name SSH --rsource -j DROP
-A sshguard -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
-A sshguard -j ACCEPT
COMMIT
# Completed on Mon Dec 14 08:20:34 2009

вывод ifconfig:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:17:9a:79:c4:f3  
          inet addr:192.168.1.22  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::217:9aff:fe79:c4f3/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:32108078 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23001767 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:147581843 (147.5 MB)  TX bytes:782761414 (782.7 MB)
          Прервано:11 Base address:0x6000

eth1      Link encap:Ethernet  HWaddr 4c:00:10:50:e4:f2  
          inet addr:192.168.0.3  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::4e00:10ff:fe50:e4f2/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22888564 errors:0 dropped:0 overruns:0 frame:0
          TX packets:30411094 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:1169302876 (1.1 GB)  TX bytes:29812478 (29.8 MB)
          Прервано:10 Base address:0xdc00

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          ВВЕРХ LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:457880 errors:0 dropped:0 overruns:0 frame:0
          TX packets:457880 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:52291084 (52.2 MB)  TX bytes:52291084 (52.2 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:y.y.y.y  P-t-P:x.x.x.x  Mask:255.255.255.255
          ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1300  Metric:1
          RX packets:2134845 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1563403 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:3
          RX bytes:1548736864 (1.5 GB)  TX bytes:502667066 (502.6 MB)

[mula]

у меня на ubuntu 9.10 connlimit отказивается работать

[dmsergei]

Не получается ограничить число соединений c одного айпи, н-р с 192.168.0.19. Делаю так: -A INPUT -p tcp -s 192.168.0.19 --syn  -m connlimit --connlimit-above 50 -j DROP. Но, судя по netstat, ничего не ограничивается. Вывод iptables-save:

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [1355:142183]
:POSTROUTING ACCEPT [7:568]
:OUTPUT ACCEPT [128406:6402189]
-A PREROUTING -d ! 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.3:3128
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.1.22
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Dec 14 08:20:34 2009
# Generated by iptables-save v1.4.2-rc1 on Mon Dec 14 08:20:34 2009
*filter
:INPUT DROP [532:57773]
:FORWARD DROP [79:24351]
:OUTPUT ACCEPT [21162:16135124]
:sshguard - [0:0]
-A INPUT -i ppp0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 139 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 445 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 445 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j sshguard
-A INPUT -p tcp -m tcp --dport 80 -m string --string "GET /setting." --algo kmp --to 65535 -j DROP
-A INPUT -i ! ppp0 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.0.19/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP
-A FORWARD -d 192.168.0.3/32 -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.1.22/32 -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -i ppp0 -m state --state ESTABLISHED -j ACCEPT
-A sshguard -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --name SSH --rsource -j DROP
-A sshguard -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
-A sshguard -j ACCEPT
COMMIT
# Completed on Mon Dec 14 08:20:34 2009

вывод ifconfig:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:17:9a:79:c4:f3 
          inet addr:192.168.1.22  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::217:9aff:fe79:c4f3/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:32108078 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23001767 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:147581843 (147.5 MB)  TX bytes:782761414 (782.7 MB)
          Прервано:11 Base address:0x6000

eth1      Link encap:Ethernet  HWaddr 4c:00:10:50:e4:f2 
          inet addr:192.168.0.3  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::4e00:10ff:fe50:e4f2/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22888564 errors:0 dropped:0 overruns:0 frame:0
          TX packets:30411094 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:1169302876 (1.1 GB)  TX bytes:29812478 (29.8 MB)
          Прервано:10 Base address:0xdc00

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          ВВЕРХ LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:457880 errors:0 dropped:0 overruns:0 frame:0
          TX packets:457880 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:52291084 (52.2 MB)  TX bytes:52291084 (52.2 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:y.y.y.y  P-t-P:x.x.x.x  Mask:255.255.255.255
          ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1300  Metric:1
          RX packets:2134845 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1563403 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:3
          RX bytes:1548736864 (1.5 GB)  TX bytes:502667066 (502.6 MB)

Ну ка удалось победить проблему - у меня такаеже ситуация ?
А тут смотрю никто не жаждит помочь.

[mula]

да видимо багу исправят нескоро такая же ситуация наблюдается в debian squeeze може кто знает как победить ?

[dmsergei]

да видимо багу исправят нескоро такая же ситуация наблюдается в debian squeeze може кто знает как победить ?

Таак вроде заработало.
Обновил ядро https://bugs.launchpad.net/ubuntu/+source/iptables/+bug/478290

[mula]

да видимо багу исправят нескоро такая же ситуация наблюдается в debian squeeze може кто знает как победить ?

Таак вроде заработало.
Обновил ядро https://bugs.launchpad.net/ubuntu/+source/iptables/+bug/478290

на каком ядре у тебя заработало ?

[dmsergei]

да видимо багу исправят нескоро такая же ситуация наблюдается в debian squeeze може кто знает как победить ?

Таак вроде заработало.
Обновил ядро https://bugs.launchpad.net/ubuntu/+source/iptables/+bug/478290

на каком ядре у тебя заработало ?

2.6.32.3

[roma333]

Эта штука работает на серверных ядрах...

[dmsergei]

Эта штука работает на серверных ядрах...

У меня 9.10 Server - не работало 

[mula]

ubuntu server 9.10 на ядре 2,6,31 не работало вчера установил 2.6.32.4 вродеб как заработало. Пакеты попадают под правило -A FORWARD -s 192.168.1.0/24 -p tcp --syn -m connlimit --connlimit-above 50 -j DROP
для теста ограничил ssh порт одной сесией в  итоге вторая попытка подключится  по ssh отшиваэтся

[dmsergei]

-A INPUT -p tcp -s 192.168.1.1/192.168.1.254 --syn  -m connlimit --connlimit-above 50 -j DROP

Такое правило не работает.

[Nitrolx]

Здравствуйте, подскажите пожалуйста у меня стоит ubuntu 9.10 server
канал интернета 10Мбит... через WIFI мост...  инет раздается с помощу NAT и ограничивается с помощью HBT  на шесть пользователей, почти все они используют торенты
Хочу ограничеть количество соиденений чтоб инет у всех работал нормально а торенты на минимуме щас попробовал вот такие настройки для каждого

Код: [Выделить]

-A INPUT -s 192.168.0.118/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A INPUT -s 192.168.0.116/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A INPUT -s 192.168.0.101/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A INPUT -s 192.168.0.115/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A INPUT -s 192.168.0.117/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A INPUT -s 192.168.0.119/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A INPUT -s 192.168.0.120/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A INPUT -s 192.168.0.121/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A OUTPUT -s 192.168.0.118/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A OUTPUT -s 192.168.0.116/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A OUTPUT -s 192.168.0.101/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A OUTPUT -s 192.168.0.115/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A OUTPUT -s 192.168.0.117/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A OUTPUT -s 192.168.0.119/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A OUTPUT -s 192.168.0.120/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A OUTPUT -s 192.168.0.121/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP

но по мойму количество сесий не изменилось, смотрю я их программой ntop http://www.ntop.org/
Извиняюсь за рание я не очень силен в linux, помогите пожалуйста нужно ограничеть торенты максимально на сколько возможно потому что WIFI точки доступа сильно загружаются большим количеством соиденений и интернет работает плохо у всех.