Forum Linux.débutant iptables + récent qui ne marche pas

Posté par alpha_one_x86 (site web personnel) le 27 novembre 2019 à 20:40. Licence CC By‑SA.

Étiquettes :

nov.

2019

Bonjour,

J'ai mit en place cette protection SYN attaque qui ne marche pas:
# DDOS SYN Attack protection
-A FORWARD -p tcp -m recent --rcheck --seconds 10 --hitcount 9 --name SYN --mask 255.255.255.255 --rsource -m tcp -j DROP
-A FORWARD -m recent --remove --name SYN --mask 255.255.255.255 --rsource
-A FORWARD -p tcp -m tcp -m recent --set --name SYN --mask 255.255.255.255 --rsource

Qui pourrai me dire pourquoi une IP peu me flooder de SYN? (scan de port ici vérifié par dumpcap)

Cordialement,

# un exemple parmi d'autres

Posté par robertix le 28 novembre 2019 à 06:25. Évalué à -10. Dernière modification le 28 novembre 2019 à 06:25.

# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N DOS_PROTECT
-N FORWARD_FIREWALL
-N INPUT_FIREWALL
-A INPUT -j DOS_PROTECT
-A INPUT -j INPUT_FIREWALL
-A FORWARD -j FORWARD_FIREWALL
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A FORWARD_FIREWALL -i lo -j ACCEPT
-A FORWARD_FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD_FIREWALL -p tcp -m multiport --dports 22,25,80,443,465,995 -j RETURN
-A INPUT_FIREWALL -i lo -j ACCEPT
-A INPUT_FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT_FIREWALL -p tcp -m multiport --dports 22,25,80,443,465,995 -j RETURN

# ip6tables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N DOS_PROTECT
-N FORWARD_FIREWALL
-N INPUT_FIREWALL
-A INPUT -j DOS_PROTECT
-A INPUT -j INPUT_FIREWALL
-A FORWARD -j FORWARD_FIREWALL
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN
-A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A FORWARD_FIREWALL -i lo -j ACCEPT
-A FORWARD_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 133 -j ACCEPT
-A FORWARD_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 134 -j ACCEPT
-A FORWARD_FIREWALL -p icmpv6 -m icmp6 --icmpv6-type 135 -j ACCEPT
-A FORWARD_FIREWALL -p icmpv6 -m icmp6 --icmpv6-type 136 -j ACCEPT
-A FORWARD_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 137 -j ACCEPT
-A FORWARD_FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD_FIREWALL -p tcp -m multiport --dports 22,25,80,443,465,995 -j RETURN
-A INPUT_FIREWALL -i lo -j ACCEPT
-A INPUT_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 133 -j ACCEPT
-A INPUT_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 134 -j ACCEPT
-A INPUT_FIREWALL -p icmpv6 -m icmp6 --icmpv6-type 135 -j ACCEPT
-A INPUT_FIREWALL -p icmpv6 -m icmp6 --icmpv6-type 136 -j ACCEPT
-A INPUT_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 137 -j ACCEPT
-A INPUT_FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT_FIREWALL -p tcp -m multiport --dports 22,25,80,443,465,995 -j RETURN

[^] # Re: un exemple parmi d'autres

Posté par alpha_one_x86 (site web personnel) le 29 novembre 2019 à 14:17. Évalué à 2.

Ce code ne m'est pas utile: pas de mod RECENT

Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

# Plus de détails

Posté par benoar le 28 novembre 2019 à 10:32. Évalué à 3.

Il faudrait plus de détails sur ton setup… Là par exemple, tes règles sont pour FORWARD, est-ce que par hasard ton flood ne viserait pas cette machine-même, dans ce cas il faudrait mettre en place ces règles sur INPUT également ?
- [^] # Re: Plus de détails
  
  Posté par alpha_one_x86 (site web personnel) le 29 novembre 2019 à 13:34. Évalué à 2.
  
  Quel détails as tu besoin?
  C'est un routeur software avec mon AS d'un coté (et donc mes bloques IP), internet de l'autre. Donc ici c'est bien FORWARD que je vise.
  
  Cette régle semble marcher:
  -A FORWARD -p tcp -i internet -m state --state NEW -m recent --set
  -A FORWARD -p tcp -i internet -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP
  
  Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
# Commentaire supprimé

Posté par Anonyme le 28 novembre 2019 à 16:04. Évalué à 2.

Ce commentaire a été supprimé par l’équipe de modération.
- [^] # Re: Question
  
  Posté par alpha_one_x86 (site web personnel) le 29 novembre 2019 à 13:35. Évalué à 1.
  
  Non car cette régle s'applique sur le trafic entrant, pas sur le trafic routé
  
  Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
  - [^] # Commentaire supprimé
    
    Posté par Anonyme le 30 novembre 2019 à 17:41. Évalué à 2.
    
    Ce commentaire a été supprimé par l’équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.