Forum Linux.débutant iptables + récent qui ne marche pas

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
0
27
nov.
2019

Bonjour,

J'ai mit en place cette protection SYN attaque qui ne marche pas:
# DDOS SYN Attack protection
-A FORWARD -p tcp -m recent --rcheck --seconds 10 --hitcount 9 --name SYN --mask 255.255.255.255 --rsource -m tcp -j DROP
-A FORWARD -m recent --remove --name SYN --mask 255.255.255.255 --rsource
-A FORWARD -p tcp -m tcp -m recent --set --name SYN --mask 255.255.255.255 --rsource

Qui pourrai me dire pourquoi une IP peu me flooder de SYN? (scan de port ici vérifié par dumpcap)

Cordialement,

  • # un exemple parmi d'autres

    Posté par  . Évalué à -10. Dernière modification le 28 novembre 2019 à 06:25.

    # iptables -S
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    -N DOS_PROTECT
    -N FORWARD_FIREWALL
    -N INPUT_FIREWALL
    -A INPUT -j DOS_PROTECT
    -A INPUT -j INPUT_FIREWALL
    -A FORWARD -j FORWARD_FIREWALL
    -A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j RETURN
    -A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
    -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
    -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
    -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN
    -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
    -A FORWARD_FIREWALL -i lo -j ACCEPT
    -A FORWARD_FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD_FIREWALL -p tcp -m multiport --dports 22,25,80,443,465,995 -j RETURN
    -A INPUT_FIREWALL -i lo -j ACCEPT
    -A INPUT_FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT_FIREWALL -p tcp -m multiport --dports 22,25,80,443,465,995 -j RETURN
    
    # ip6tables -S
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    -N DOS_PROTECT
    -N FORWARD_FIREWALL
    -N INPUT_FIREWALL
    -A INPUT -j DOS_PROTECT
    -A INPUT -j INPUT_FIREWALL
    -A FORWARD -j FORWARD_FIREWALL
    -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
    -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
    -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10000/sec --limit-burst 100 -j RETURN
    -A DOS_PROTECT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
    -A FORWARD_FIREWALL -i lo -j ACCEPT
    -A FORWARD_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 133 -j ACCEPT
    -A FORWARD_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 134 -j ACCEPT
    -A FORWARD_FIREWALL -p icmpv6 -m icmp6 --icmpv6-type 135 -j ACCEPT
    -A FORWARD_FIREWALL -p icmpv6 -m icmp6 --icmpv6-type 136 -j ACCEPT
    -A FORWARD_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 137 -j ACCEPT
    -A FORWARD_FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD_FIREWALL -p tcp -m multiport --dports 22,25,80,443,465,995 -j RETURN
    -A INPUT_FIREWALL -i lo -j ACCEPT
    -A INPUT_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 133 -j ACCEPT
    -A INPUT_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 134 -j ACCEPT
    -A INPUT_FIREWALL -p icmpv6 -m icmp6 --icmpv6-type 135 -j ACCEPT
    -A INPUT_FIREWALL -p icmpv6 -m icmp6 --icmpv6-type 136 -j ACCEPT
    -A INPUT_FIREWALL -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 137 -j ACCEPT
    -A INPUT_FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT_FIREWALL -p tcp -m multiport --dports 22,25,80,443,465,995 -j RETURN
    
  • # Plus de détails

    Posté par  . Évalué à 3.

    Il faudrait plus de détails sur ton setup… Là par exemple, tes règles sont pour FORWARD, est-ce que par hasard ton flood ne viserait pas cette machine-même, dans ce cas il faudrait mettre en place ces règles sur INPUT également ?

    • [^] # Re: Plus de détails

      Posté par  (site web personnel) . Évalué à 2.

      Quel détails as tu besoin?
      C'est un routeur software avec mon AS d'un coté (et donc mes bloques IP), internet de l'autre. Donc ici c'est bien FORWARD que je vise.

      Cette régle semble marcher:
      -A FORWARD -p tcp -i internet -m state --state NEW -m recent --set
      -A FORWARD -p tcp -i internet -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP

      Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

  • # Commentaire supprimé

    Posté par  . Évalué à 2.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Question

      Posté par  (site web personnel) . Évalué à 1.

      Non car cette régle s'applique sur le trafic entrant, pas sur le trafic routé

      Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 2.

        Ce commentaire a été supprimé par l’équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.