Hallo alle zusammen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Bin neu hier und stelle mich deshalb kurz vor:
Name Patrick Alter 26 Wohnort Heidelberg
Nun zu meinem Problem:
Seit geraumer Zeit experimentiere ich mit iptables ein wenig rum.
D.h. ich suche auch nach anderen Skripten im Netz und versuche Sie zu verstehen oder auch zu integrieren.
Nun habe ich ein Skript das mir nicht ganz klar ist hier der Auszug wo ich nicht so ganz verstehe:
# Ping of death
iptables -N ping-death
iptables -A ping-death -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A ping-death -j LOG --log-prefix "iptables ping-death: "
iptables -A ping-death -j DROP
iptables -A INPUT -i $IF_NET -p icmp --icmp-type echo-request -j ping-death
iptables -A FORWARD -i $IF_NET -p icmp --icmp-type echo-request -j ping-death
Also was ich verstehe ist folgendes:
Also es wird eine Neue Kette "ping-death" angelegt.
Dann eine Neue Regel an die Kette "ping-death" angehängt.
So nun kommt die besagt limit Zeile dich ich ned so ganz verstehe:
iptables -A ping-death -m limit --limit 1/s --limit-burst 4 -j ACCEPT
Wenn ich nun raten müsste würde ich sagen:
Alles was in der Kette "ping-death" ist UND lasse nur ein paket pro sekunde durch UND nach 4 Paketen hör auf
Und das nun alles ACCEPT ??
Der Rest ist dann wieder klar
Alles in der Kette loggen und anschließend droppen
Am Ende dann die Entscheidungen was in die Kette "ping-death" kommt, also in die Kette springt.
Vielleicht kann mir ja einer von euch einen Tipp geben <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
iptables limit verständnis problem
-
Michael
Re: iptables limit verständnis problem
Also ich lese da, das Limit ist erreicht (accept), wenn mehr als 4 Mal
pro Sekunde solch ein Paket eingeht.
Cheers
Michael
pro Sekunde solch ein Paket eingeht.
Cheers
Michael
-
Michael
Re: iptables limit verständnis problem
BTW: Ein ping of death meint landläufig, das man
ein special craftet packet versendet, dessen Verarbeitung
beim Empfänger zu einem DOS führt. In Deinem Script
sehe ich aba bloß --icmp-type echo-request, was wohl
jeder IP-Stack so vertragen sollte.
Die Passage sollte wohl nur "ping death" heißen, weil
sie bei mehr als 4 echo-requests pro Sekunde zu macht.
Cheers
Michael
ein special craftet packet versendet, dessen Verarbeitung
beim Empfänger zu einem DOS führt. In Deinem Script
sehe ich aba bloß --icmp-type echo-request, was wohl
jeder IP-Stack so vertragen sollte.
Die Passage sollte wohl nur "ping death" heißen, weil
sie bei mehr als 4 echo-requests pro Sekunde zu macht.
Cheers
Michael
-
paddel23
Re: iptables limit verständnis problem
Vielen dank <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
so in der Art hab ich mir das gedacht <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Aber Bestätigung ist alles
Paddel
so in der Art hab ich mir das gedacht <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Aber Bestätigung ist alles
Paddel