vine-users ML アーカイブ

[vine-users:080302] Re: iptablesのルール

  • From: ondemand test <sti_test@xxxxxxxxxxxxx>
  • Subject: [vine-users:080302] Re: iptablesのルール
  • Date: Sun, 2 May 2010 07:38:19 +0900

蕪木さん
 
おはようございます。
 
6時にメンテナンスをして導入してみましたが今のところ大丈夫そうです。
念のため、自分でも別回線からアクセスして通常DLしてみたりしましたが
特に問題はでなさそうなのでうれしいです。
 
最低回数をシビアにしたので様子を見ながらチューニングしたいと思います。
 
これで同一IPから同一ファイルへ毎秒数十回〜でトータル5kとかの
アクセスから解放されるとうれしいのですが・・・。
 
問題は・・・申告がないと普通の人がパケット破棄されたとしても
原因追求がしにくいことでしょうかね?
時間とIPしかログに吐かれないのでどのファイルにアクセスしたかが
把握できないので対応できなさそう?

----------------------------------------
> Date: Sat, 1 May 2010 09:17:48 +0900
> From: kabu@xxxxxxxxxx
> To: vine-users@xxxxxxxxxxxxxxxxxxxx
> Subject: [vine-users:080299] Re: iptablesのルール
>
>
> おはようございます、蕪木です。
>
>> 知り合いとかが作った音楽や画像を配布するサイトを運営してます。
>> 分割ツールを使った迷惑行為をする人間が多いのでどうにかできないかなと思ってます。
>> iptablesのルール設定を書いているところで下記を見つけました。
>
> iptablesこんなことも出来るんですね、メモメモ。(^-^;
>
>> # 1秒間に4回を超えるpingはログを記録して破棄
>> # ※Ping of Death攻撃対策
>> iptables -N LOG_PINGDEATH
>> iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
>> iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
>> iptables -A LOG_PINGDEATH -j DROP
>> iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
>>
>> これを80番に同じIPから1秒間に5回以上のアクセスがあれば破棄にできるのでしょうか?
>> 参考サイトなどあればお教えください。
>
> これですが、
>
>> iptables -N LOG_PINGDEATH
>> iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
>> iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
>> iptables -A LOG_PINGDEATH -j DROP
>
> の部分が「LOG_PINGDEATH」というフィルターの定義です。
>
> で、
>
>> iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
>
> の部分が、プロトコルがicmpで、icmpのタイプがecho-request(つまりping)
> なら、LOG_PINGDEATHっていう名前のフィルター定義にジャンプしなさい、
> という意味です。
>
> ですので、HTTPをフィルター対象にしたいなら、プロトコルはtcpで、宛先
> ポートが80のパケットについてジャンプさせれば、ジャンプ先の定義では
> これといってパケットの種類を判定しているわけではないので、いけるん
> じゃないでしょうか?(-p tcp --dport 80 -j LOG_PINGDEATH みたいな)
>
> ぜひ試してみてレポートしてください。
>
> _______________________________________________
> vine-users mailing list
> vine-users@xxxxxxxxxxxxxxxxxxxx
> http://listserv.linux.or.jp/mailman/listinfo/vine-users 		 	   		  
_________________________________________________________________
ご存知ですか?フィッシング詐欺やマルウェアはブラウザーで防げます。
http://go.microsoft.com/?linkid=9722595
_______________________________________________
vine-users mailing list
vine-users@xxxxxxxxxxxxxxxxxxxx
http://listserv.linux.or.jp/mailman/listinfo/vine-users