ipfw и ограничение udp на 53 порт

rimmer · Непрочитанное сообщение **rimmer** » 2013-05-20 15:47:34

Имеется на борту FreeBSD 5.4 c bind (ещё натом и прокси, но к делу мало чем относится) => открыт 53 и он нужен т.к. держим зону. Рекурсивные запросы разрешены только от 3 доверенных внешних ip.
Так же приходит периодически с разный сегментов и разных ip UDP-трафик на 53 порт.

Если в ipfw вовремя воткнуть

Код: Выделить всё

ipfw add 4 deny udp from ip-флудера to мой ip dst-port 53

,
то пакеты хоть и забивают полосу до ipfw, но хотя бы не мешают работать юзерам

Так вот вопрос: можно ли как-то ограничить количество udp пакетов на 53 порт с одного ip до 10 в секунду т.е. если за одну секунду приходит больше 10 пакетов, то начиная с 11 пакета dropать пакеты?

Да и вообще кто-то сталкивался с UDP-флудом на 53 порт и как с ним бороться

Буду очень благодарен за полезные конкретные советы

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

skeletor

ipfw limit src-addr / ipfw limit connections

rimmer · Непрочитанное сообщение **rimmer** » 2013-05-21 8:25:32

skeletor писал(а):ipfw limit src-addr / ipfw limit connections

Код: Выделить всё

ipfw add deny udp from any to me limit src-addr 10 dst-port 53

Как считаете, такое покатит?

skeletor

Нет. Данное ограничение нужно применять так:

Код: Выделить всё

ipfw add 1 allow udp from any to me limit src-addr 10 dst-port 53
ipfw add 2 deny udp from any to me dst-port 53

То есть, разрешаем подключение не более 10 адресов, а для 11-ого уже срабатывает правило 2.

rimmer · Непрочитанное сообщение **rimmer** » 2013-05-21 15:38:58

skeletor писал(а):Нет. Данное ограничение нужно применять так:
Код: Выделить всё
ipfw add 1 allow udp from any to me limit src-addr 10 dst-port 53
ipfw add 2 deny udp from any to me dst-port 53
То есть, разрешаем подключение не более 10 адресов, а для 11-ого уже срабатывает правило 2.

по выводу ipfw show получается, что до второго правила ничего не доходит (счёчики пакетов по нулям...)

или limit отрабатывается как-то по-другому?

Код: Выделить всё

00004      28877       2374543 allow udp from any to me dst-port 53 limit src-addr 10
00005          0             0 deny udp from any to me dst-port 53

skeletor

Я вам дал только наводку, а вы смотрите, разбирайтесь дальше.
Более того, limit использует динамические правила, а значит нужно добавлять check-state в самом начале.

rimmer · Непрочитанное сообщение **rimmer** » 2013-05-21 16:29:23

Понял. Так бы и сказали в конце первого ответа

Непрочитанное сообщение **ADRE** » 2013-05-22 12:43:11

надо просто разрешить доверенным ip слать пакеты и обрабатывать, остальное запретить...

rimmer · Непрочитанное сообщение **rimmer** » 2013-05-22 15:31:17

ADRE писал(а):надо просто разрешить доверенным ip слать пакеты и обрабатывать, остальное запретить...

Зоны через день отваливаются, х3 почему

поэтому не вариант

Непрочитанное сообщение **ADRE** » 2013-05-22 16:11:33

в каком плане? у вас динамика на 17 сетку?

forum.lissyara.su

ipfw и ограничение udp на 53 порт

ipfw и ограничение udp на 53 порт

Услуги хостинговой компании Host-Food.ru

Re: ipfw и ограничение udp на 53 порт

Re: ipfw и ограничение udp на 53 порт

Re: ipfw и ограничение udp на 53 порт

Re: ipfw и ограничение udp на 53 порт

Re: ipfw и ограничение udp на 53 порт

Re: ipfw и ограничение udp на 53 порт

Re: ipfw и ограничение udp на 53 порт

Re: ipfw и ограничение udp на 53 порт

Re: ipfw и ограничение udp на 53 порт