iptables et SYN flood

[RiPSO]

Salut

J'ai un soucis avec une ligne de ma config iptables : (la deuxieme ligne)

iptables -A INPUT -p tcp --syn -m state --state NEW -m recent --name synflood --set
iptables -A INPUT -m recent --name synflood --rcheck --seconds 1 --hitcount 100 -m recent --name synbl --set -j LOG --log-prefix "SYNFLOOD "

en gros la table synflood contient les paquets à analyser, et synbl c'est la table de blacklist.
Le but de la manoeuvre est de verifier dans synflood si il y a eu 100 entrées dans la derniere seconde et si oui ajouter une entrée dans synbl pour blacklister, et aussi faire une sortie vers les logs.

la premiere ligne fonctionne, j'ai ajouté une sortie log pour vérifier et c'est bon.
Par contre la deuxième ligne me sort un "Invalid argument"

Si quelqu'un s'y connait en iptables je veux bien un peu d'aide svp :mrgreen:

Merci

 

[RiPSO]

Bon bin comme dab je trouve ma réponse tout seul...

hitcount doit être inférieur ou égal à 20...

 

[datch]

Merci de poster la réponse, c'est toujours cool pour une personne qui cherche
par contre je me demande pourquoi tu créés cette règle ?

de mon coté j'ai configuré le firewall en ssh, es-ce suffisant pour contrer tous les pirates ?

merci d'avance de ta réponse

 

[RiPSO]

Oui je fais en sorte de toujours donner la réponse.

Là je suis en train de tester pour augmenter la valeur par défaut mais j'ai pas encore réussi :mrgreen:

Pour ta question, non ce n'est pas suffisant. Je ne suis pas du tout spécialiste mais en 2 jours non stop de lecture et de tests sur iptables je sais déjà qu'il te manque des trucs genre attaques icmp, syn, rts...

en gros ce que je cherche à faire c'est pour contrer quelqu'un qui chercherait a faire une attaque SYN en envoyant plein de demandes de connexions.
Tu as la possibilité de le faire facilement mais moi je cherche a faire un peu plus compliqué.
La version facile va juste mettre une limite du nombre de connexion.
Ma version c'est plutot de compter le nombre de connexions par seconde pour une seule ip et la mettre dans une blackliste pendant un certain temps et faire une sortie dans les logs.

Je compte faire une blackliste pour chaque type d'attaque et si une ip se retrouve dans plusieurs liste ca devra l'envoyer dans la blackliste principale qui durera pas mal de temps...

Theoriquement ça a l'air faisable, en pratique c'est plus compliqué :mrgreen:

 

[RiPSO]

Si quelqu'un sait changer la valeur de ip_pkt_list_tot ça m'intéresse

je précise que la valeur est consultable là : /sys/module/ipt_recent/parameters/ip_pkt_list_tot

 

[RiPSO]

Quelqu'un a déjà vu seul au monde? :mrgreen:

Bon, ca fait bientot 24h non stop que je suis sur ce problème... seul...
J'ai donc sorti l'artillerie lourde, j'ai contacté directement le développeur du module... wait and see

 

[datch]

Lol
T'inquiète t'es pas tout seul
je fais aussi des recherches et envoyé un mail à un administrateur serveur.