From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Fri, 13 Oct 2006 01:18:41 +0300 From: Michael Shigorin To: community@lists.altlinux.org Message-ID: <20061012221841.GG17369@osdn.org.ua> Mail-Followup-To: community@lists.altlinux.org References: Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: User-Agent: Mutt/1.4.2.1i Subject: Re: [Comm] =?koi8-r?b?/snTzM8g0M/Ey8zA3sXOycog0yDPxM7Px88gSVA=?= X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: shigorin@gmail.com, ALT Linux Community List-Id: ALT Linux Community List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 12 Oct 2006 22:18:06 -0000 Archived-At: List-Archive: List-Post: On Fri, Oct 13, 2006 at 12:26:33AM +0300, Kaydannik Axel wrote: > Господа, поздравте. У моего мелокго проектика появились > недоброжелатели в виде досеров. И досрали они до немагу. > Боевая задача - ограничить число подключений к определенному > порту с одно IP Гуглинье уткнуло в пач-о-матик для айпитеблс. > Есть ли что нибудь более приемлимое и обсиифленное? > Что посоветуете ? Кто сталкивался? Про сизиф спрошать в sisyphus@, про iptables -- в sysadmins@. С pom у нас был прецедент во времена 2.0, с тех пор все сыты... Вообще чего-нить вроде просто такого -- не хватит? -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT -A INPUT -s 127.0.0.1 -d $LAN -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j syn-flood -A INPUT -p icmp -j icmp-flood -A INPUT -j bad-packets -A icmp-flood -p icmp -m icmp --icmp-type 8 -m limit --limit 5/s --limit-burst 25 -j ACCEPT -A icmp-flood -p icmp -m icmp --icmp-type 8 -j DROP -A syn-flood -m limit --limit 10/sec --limit-burst 50 -j RETURN -A syn-flood -j DROP -A bad-packets -m state --state INVALID -j DROP -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/