On Mon, 7 Jul 2008 09:39:12 +0500
Sergey wrote:

> > > меня вполне спасает iptables. Вроде бы никто не возвращается,
> > > наткнувшись на минутную блокировку по recent. Я уже писал
> > > вроде... И в настройки по-умолчанию предлагал добавить...
> > 
> > Э... а можешь форварднуть?
> 
> Примерно вот так:
> 
> -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m
> recent --set --name ssh_rate_limit --rsource -A INPUT -p tcp -m tcp
> --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update
> --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG -A
> INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m
> recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit
> --rsource -j DROP
> 

Здесь бы, кстати, еще принудительно интерфейс указывать, т.к. на veth
есть вполне реальная возможность не попасть на ssh вообще, когда
статистика об одном и тот же пакет будет складываться в очередь
несколько раз -- по разу на каждый из виртуальных интерфейсов.