forum.lissyara.su

Имеется на борту FreeBSD 5.4 c bind (ещё натом и прокси, но к делу мало чем относится) => открыт 53 и он нужен т.к. держим зону. Рекурсивные запросы разрешены только от 3 доверенных внешних ip.
Так же приходит периодически с разный сегментов и разных ip UDP-трафик на 53 порт.
Если в ipfw вовремя воткнуть ,
то пакеты хоть и забивают полосу до ipfw, но хотя бы не мешают работать юзерам

Так вот вопрос: можно ли как-то ограничить количество udp пакетов на 53 порт с одного ip до 10 в секунду т.е. если за одну секунду приходит больше 10 пакетов, то начиная с 11 пакета dropать пакеты?

Да и вообще кто-то сталкивался с UDP-флудом на 53 порт и как с ним бороться

Буду очень благодарен за полезные конкретные советы

ipfw limit src-addr / ipfw limit connections

skeletor писал(а):ipfw limit src-addr / ipfw limit connections

Как считаете, такое покатит?

Нет. Данное ограничение нужно применять так: То есть, разрешаем подключение не более 10 адресов, а для 11-ого уже срабатывает правило 2.

skeletor писал(а):Нет. Данное ограничение нужно применять так:

Код: Выделить всё

ipfw add 1 allow udp from any to me limit src-addr 10 dst-port 53
ipfw add 2 deny udp from any to me dst-port 53

То есть, разрешаем подключение не более 10 адресов, а для 11-ого уже срабатывает правило 2.

по выводу ipfw show получается, что до второго правила ничего не доходит (счёчики пакетов по нулям...) или limit отрабатывается как-то по-другому?

Я вам дал только наводку, а вы смотрите, разбирайтесь дальше.
Более того, limit использует динамические правила, а значит нужно добавлять check-state в самом начале.

Понял. Так бы и сказали в конце первого ответа

надо просто разрешить доверенным ip слать пакеты и обрабатывать, остальное запретить...

ADRE писал(а):надо просто разрешить доверенным ip слать пакеты и обрабатывать, остальное запретить...

Зоны через день отваливаются, х3 почему поэтому не вариант

в каком плане? у вас динамика на 17 сетку?