forum.opennet.ru

Составление сообщения

Исходное сообщение

"Интересное поведение IPTables и hashlimit"
Отправлено WeSTMan, 19-Мрт-19 19:48

>[оверквотинг удален]
> советую попасть сначала в гугл и основательно почитать базовую документацию
> но если пакет уже попал в ACCEPT/DROP - то остальные правила после
> него уже необрабатываются,
> это основная аксиома работы с iptables , советую отойти от консоли пока
> его не поймёшь
> твои правила в том виде что они есть лишены смысла
>> -A INPUT -p udp -m multiport --dports 27015:27020 -m state --state NEW -m hashlimit --hashlimit-upto 104/sec --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
> убери -m state NEW и поставь правило выше -A INPUT -m conntrack
> --ctstate ESTABLISHED -j ACCEPT
> так оно будет работать как ты хочешь
К сожалению... нет, опять я попадаю в ESTABLISHED и не отсеиваю пакет, который превысил мои правила
alex@server:~# iptables -L -v -n
Chain INPUT (policy DROP 34506 packets, 1274K bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  -lo    *       0.0.0.0/0            0.0.0.0/0
2159 86280 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 27015:27020 limit: up to 104/sec burst 1 mode srcip
203K 7511K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate ESTABLISHED
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 224 packets, 36759 bytes)
pkts bytes target     prot opt in     out     source               destination
Как видно, iptables заблокировал 34506 пакета и пропустил 203000+ пакета

Исходное сообщение
"Интересное поведение IPTables и hashlimit" Отправлено WeSTMan, 19-Мрт-19 19:48
>[оверквотинг удален] > советую попасть сначала в гугл и основательно почитать базовую документацию > но если пакет уже попал в ACCEPT/DROP - то остальные правила после > него уже необрабатываются, > это основная аксиома работы с iptables , советую отойти от консоли пока > его не поймёшь > твои правила в том виде что они есть лишены смысла >> -A INPUT -p udp -m multiport --dports 27015:27020 -m state --state NEW -m hashlimit --hashlimit-upto 104/sec --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT > убери -m state NEW и поставь правило выше -A INPUT -m conntrack > --ctstate ESTABLISHED -j ACCEPT > так оно будет работать как ты хочешь К сожалению... нет, опять я попадаю в ESTABLISHED и не отсеиваю пакет, который превысил мои правила alex@server:~# iptables -L -v -n Chain INPUT (policy DROP 34506 packets, 1274K bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- -lo * 0.0.0.0/0 0.0.0.0/0 2159 86280 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 27015:27020 limit: up to 104/sec burst 1 mode srcip 203K 7511K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 224 packets, 36759 bytes) pkts bytes target prot opt in out source destination Как видно, iptables заблокировал 34506 пакета и пропустил 203000+ пакета

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>[оверквотинг удален] >> советую попасть сначала в гугл и основательно почитать базовую документацию >> но если пакет уже попал в ACCEPT/DROP - то остальные правила после >> него уже необрабатываются, >> это основная аксиома работы с iptables , советую отойти от консоли пока >> его не поймёшь >> твои правила в том виде что они есть лишены смысла >>> -A INPUT -p udp -m multiport --dports 27015:27020 -m state --state NEW -m hashlimit --hashlimit-upto 104/sec --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT >> убери -m state NEW и поставь правило выше -A INPUT -m conntrack >> --ctstate ESTABLISHED -j ACCEPT >> так оно будет работать как ты хочешь > К сожалению... нет, опять я попадаю в ESTABLISHED и не отсеиваю пакет, > который превысил мои правила > alex@server:~# iptables -L -v -n > Chain INPUT (policy DROP 34506 packets, 1274K bytes) > pkts bytes target prot opt in > out source > > destination > 0 0 ACCEPT > all -- -lo > * 0.0.0.0/0 > 0.0.0.0/0 > 2159 86280 ACCEPT udp -- > * * > 0.0.0.0/0 > 0.0.0.0/0 > multiport dports 27015:27020 limit: up to 104/sec > burst 1 mode srcip > 203K 7511K ACCEPT all -- > * * > 0.0.0.0/0 > 0.0.0.0/0 > ctstate ESTABLISHED > Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) > pkts bytes target prot opt in > out source > > destination > Chain OUTPUT (policy ACCEPT 224 packets, 36759 bytes) > pkts bytes target prot opt in > out source > > destination > Как видно, iptables заблокировал 34506 пакета и пропустил 203000+ пакета
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру