Limitare l'IPMP per IP sorgente con IPTables

9

Ho erroneamente pensato che il modulo limite sia per IP sorgente, ma sembra essere basato su tutte le richieste:

  577 36987 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/sec burst 5 
   46  3478 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 LOG flags 0 level 4 prefix `INET-PING-DROP:' 
   46  3478 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
    ...
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 3/sec burst 5 
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 LOG flags 0 level 4 prefix `WEB-PING-DROP:' 
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

Come posso limitare il limite icmp con iptables / netfilter in base all'indirizzo IP di origine?

linux  networking  iptables  router 
Kyle Brandt
fonte

Risposte:

5

Se ti stavi ancora chiedendo un suggerimento:

iptables -I INPUT -p icmp -m hashlimit --hashlimit-name icmp --hashlimit-mode srcip --hashlimit 3/second --hashlimit-burst 5 -j ACCEPT

Supponendo che l'ultima regola in INPUT sia drop o il criterio predefinito sia DROP. Ogni ip è limitato a 3 ping al secondo (raffica di 5). Non tutti gli IP in entrata totali, come hai trovato con il limite -m.

Nicheli
fonte
Ora questo accetta è davvero "meta"!
Corse di leggerezza in orbita
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.