iptables limit

Imagen de elusuario
0 puntos

Hola gente.

Estoy tratando de entender las opciones de la extension "limit" de iptables (--limit y --limit-burst). Parece que esta extension es muy util y quiero saber como trabajar con ella, pero no llego a un entendimiento completo.

Hasta donde se:
iptables -t filter -A INPUT -m limit --limit 3/second --limit-burst 5 -j LOG
loguea 5 paquetes cada 3 segundos

iptables -t filter -A INPUT -m limit --limit 5/minute --limit-burst 30 -j LOG
loguea 30 paquetes cada 5 minutos

Pero no estoy seguro si estoy en lo correcto. Mi duda principal es:
1. El valor de --limit se refiere a un numero de paquetes o a un periodo de tiempo?
En otras palabras: --limit 3/second se refiere a 3 segundos o a 3 paquetes por segundo?

Espero que puedan ayudarme.

Saludos y gracias por adelantado.

Imagen de Gabriel_M
+1
0
-1

limit
Este módulo de iptables de debe especificar de forma explícita con «-m limit» o «--match limit».
Se usa para restringir la tasa de coincidencias, para suprimir mensajes de registro.
Sólo se activará un número dado de veces por segundo (por defecto, 3 coincidencias por hora, a ráfagas de 5).
--limit seguido por un número; especifica el número máximo de coincidencias de media por segundo a permitir.
El número puede especificar unidades de forma explícita, usando «/second», «/minute», «/hour», o «/day», o abreviadas (de manera que «5/second» es lo mismo que «5/s»).
--limit-burst seguido de un número, indica la ráfaga más larga que se puede producir antes de comprobar el límite.
Ejemplo:
/sbin/ iptables -A FORWARD -m limit -j LOG
La primera vez que se alcanza esta regla, se registra el paquete; en realidad, como la ráfaga por defecto es de 5, se registrarán los primeros cinco paquetes. Después, pasarán veinte minutos antes de que vuelva a registrarse un paquete con esta regla. Además, cada veinte minutos que pasen sin que un paquete alcance la regla, la ráfaga «recuperará» un paquete; si no sucede nada durante 100 minutos, la ráfaga quedará completamente «recargada»; de vuelta entonces a la situación inicial.
Este módulo se puede usar para evitar varios ataques por denegación de servicio (DoS) con una tasa más rápida para incrementar la respuesta.
Protección contra Syn-flood (inundación mediante Syn):
/sbin/ iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
Furtivo buscando puertos (port scanner):
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

+1
0
-1