Pochopení pravidla iptables

[Josef]

Kód: [Vybrat]

iptables -I INPUT  -p tcp --dport 80 -m limit --limit 1/min --limit-burst 10 -j ACCEPT
Da se tohle pravidlo vylozit takto?
Vsechny pozadavky co jdou na 80 port, kterych je do deseti za minut povol ... vsechno co je nad zakaz... da se to tak vysvetlit?

[Reklama]

[Martin Volf]

Myslím, že to znamená, že z paketů na tcp/dport/80 se na prvních 10 uplatní toto pravidlo, tj. ACCEPT, a pro další se toto pravidlo uplatní v průměru na jeden za minutu. Na ostatní tcp/dport/80 pakety se uplatní v pořadí následující pravidlo, případně výchozí politika chainu INPUT. Tam asi chcete mít DROP nebo REJECT.

[Ondřej Caletka]

A ještě by se slušilo dodat, že pokud je cílem omezovat počet spojení namísto počtu paketů, chce to ještě buď před toto pravidlo přidat obecné povolení paketů ve stavu ESTABLISHED, nebo k tomuto pravidlu přidat -m state --state NEW.

[j]

Funguje to nasledovne ...

limit urcuje jak casto se uplatni pravidlo
burst je defakto takova vyjimka z nej

=> rikas, ze se pravidlo uplatni 1x za minutu, ale ze kazdou minutu akceptujes 10paketu zcela bez omezeni. 11ctej to tudiz posle uz na dalsi pravidlo v rade, protoze to uz bude prekrocen ten 1/min

Kdybys tam mel limit 3/min ... tak to funguje tak, ze 3x za minutu akceptujes 10 paketu (respektive 1x kazdych 20s).

http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-7.html

Jinak tohle pouzivat na cokoli jinyho nez omezeni logovani je hodne blbej napad.

[Karlos]

Kdybys tam mel limit 3/min ... tak to funguje tak, ze 3x za minutu akceptujes 10 paketu (respektive 1x kazdych 20s).

Ale tak to přeci není, je to i v tom odkazu: Also, every twenty minutes which passes without matching a packet, one of the burst will be regained; if no packets hit the rule for 100 minutes, the burst will be fully recharged; back where we started.
Tzn, že --limit-burst je zásobník či buffer. Po jeho zaplnění se nic nepřijme. --limit je pak pravidlo, které odmazává jeden paket ze zásobníku za daný čas (2/min - 2 za minutu)

[Reklama]

[j]

Jop mas recht ... ja to necet cely ... burst plati pro celej interval.

Kazdopadne to nic nemeni na tom, ze neni dobrej napad to pouzivat na nic jinyho nez logovani, aznto to zpusobuje nefunkcnost a defakto self dos.

[Lol Phirae]

Kazdopadne to nic nemeni na tom, ze neni dobrej napad to pouzivat na nic jinyho nez logovani, aznto to zpusobuje nefunkcnost a defakto self dos.

Jsou i rozumná využití, např.

Kód: [Vybrat]

iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT


[Josef]

Diky za vysvetleni. No rekneme, ze mam stranku, ktera nacita z 10 databazi hromadu dat a ted mi nkedo drzi F5 to je tak trosk DOS attack. ....
Jak tohle muzu pomoci iptables limitovat?

[PCnity]

Sice je to offtopic, ale nebolo by efektivnejsie blokovat to na strane aplikacie? Blokovat to cez FW je uplne netransparentne voci klientovi, ten nemusi vobec chapat v com je problem... Prejde ku konkurencii lebo "sluzba nie je stabilna".

[Lol Phirae]

Sice je to offtopic, ale nebolo by efektivnejsie blokovat to na strane aplikacie?

Jo, bingo!

[Josef]

Jasne ale rad bych pochopil iptables ... reknem, ze to nebude 80/443 ale 3389, 1723 atd...

[Ondřej Caletka]

Diky za vysvetleni. No rekneme, ze mam stranku, ktera nacita z 10 databazi hromadu dat a ted mi nkedo drzi F5 to je tak trosk DOS attack. ....
Jak tohle muzu pomoci iptables limitovat?

Takže především je potřeba bezpodmínečně povolit již navázaná spojení, protože zahazování jejich paketů může situaci jen zhoršit, nikdy zlepšit.

Kód: [Vybrat]

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTPak je potřeba povolit nová spojení s patřičným limitem. Asi bych v tomto případě volil limit per IP adresa, na což se náramně hodí modul hashlimit:

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m hashlimit --hashlimit-upto 1/min \
--hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name Muj_limit -j ACCEPT
A nakonec, aby to celé mělo nějaký smysl, musí být zajištěno zahození všeho, co není povoleno, třeba politikou chainu:

Kód: [Vybrat]

iptables -P INPUT DROPJá bych ale doporučil odmítnutá spojení specificky odmítat ICMP rejectem, ať má nebohý klient šanci se dozvědět, co je špatně:

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j REJECT

[Filip Jirsák]

Diky za vysvetleni. No rekneme, ze mam stranku, ktera nacita z 10 databazi hromadu dat a ted mi nkedo drzi F5 to je tak trosk DOS attack. ....
Jak tohle muzu pomoci iptables limitovat?

Pomocí iptables nijak, protože iptables nevidí dovnitř komunikace a nevědí, že zrovna v tomhle spojení bude klient požadovat tu stránku s 10 databázemi. Navíc HTTP umožňuje jedním spojením posílat víc požadavků, takže vůbec není jisté, že držení F5 bude znamenat nová a nová spojení.
Limitovat to můžete jedině na straně aplikace, a ještě lepší je nelimitovat to, ale data kešovat, takže dotaz na nová data do databáze se provede jenom tak často, jak vy určíte.

[Josef]

Diky za vysvetleni. No rekneme, ze mam stranku, ktera nacita z 10 databazi hromadu dat a ted mi nkedo drzi F5 to je tak trosk DOS attack. ....
Jak tohle muzu pomoci iptables limitovat?

Takže především je potřeba bezpodmínečně povolit již navázaná spojení, protože zahazování jejich paketů může situaci jen zhoršit, nikdy zlepšit.

Kód: [Vybrat]

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTPak je potřeba povolit nová spojení s patřičným limitem. Asi bych v tomto případě volil limit per IP adresa, na což se náramně hodí modul hashlimit:

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m hashlimit --hashlimit-upto 1/min \
--hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name Muj_limit -j ACCEPT
A nakonec, aby to celé mělo nějaký smysl, musí být zajištěno zahození všeho, co není povoleno, třeba politikou chainu:

Kód: [Vybrat]

iptables -P INPUT DROPJá bych ale doporučil odmítnutá spojení specificky odmítat ICMP rejectem, ať má nebohý klient šanci se dozvědět, co je špatně:

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j REJECT

Jenom bych se potreboval jeste zeptat na tohle

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m hashlimit --hashlimit-upto 1/min \
--hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name Muj_limit -j ACCEPT
moc si nedovedu prelozit  tuhle cast " --hashlimit-upto 1/min  --hashlimit-burst 10" - pokud je za minutu prijmes vic jak  10 packetu s hlavickou NEW, pak reject?

[Ondřej Caletka]

V tomhle konkrétním případě budou zaříznuta nová spojení z dané zdrojové IP adresy, která přicházejí častěji než jednou za minutu. Přičemž počáteční zásoba je deset spojení. Tedy pokud do toho někdo bude neustále tlouct, podaří se mu nejdřív 10 spojení v řadě a pak jedno další každou minutu.