ieri ho fatto un po' di ricerche, e sto mettendo giu' due appunti... ripeto si tratta di appunti...
volevo scrivere quindi un brevissimo appunto, su questi due utilissimi moduli per iptables (xt_limit ed xt_recent) che ci serivranno nel caso volessimo utilizzare iptables per bloccare attacchi del tipo DDOS
xt_recent sostituisce ipt_recent
xt_limit sostituisce ipt_limit
su centos 6, i moduli si trovano su /sys/module/xt_recent e su /sys/module/xt_limit
per configurare xt_recent ed eliminare il limite di 20 hitcounts (che ci genererebbe degli errori all'avvio di iptables) andare su /sys/module/xt_recent/parameters/ip_pkt_list_tot e cambiare il valore di default da 20 a 200 o piu'
dopo avere modificato il valore ip_pkt_list_tot ricaricare il moduli xt_recent con il comando:
modprobe xt_recent
Ecco un paio di comandi da inviare via prompt, per bloccare un attacco ddos al nostro sito web sulla porta 80, 21 e 22
iptables -I INPUT -p tcp --dport 80,21,22 -i eth0 -m state --state NEW -m recent \ --set iptables -I INPUT -p tcp --dport 80,21,22 -i eth0 -m state --state NEW -m recent \ --update --seconds 60 --hitcount 50 -j DROP
iptables -I INPUT -p tcp --dport 80,21,22 -i eth0 -m state --state NEW -m recent \ --update --seconds 600 --hitcount 150 -j DROP
dopo avere inviato i suddetti 3 comandi, dobbiamo salvare iptables, con il comando:
iptables-save
e poi:
service iptables restart
Ripeto... sono solo due appunti... modificate i comandi inbase alle vostre esigenze, e
documentatevi sui vari forum prima di eseguire questi comandi su un server in produzione
Post
Nessun commento:
Posta un commento