[centos-users 1364] Re: iptablesのルール

Toshio HORI t.hori @ aist.go.jp
2010年 5月 6日 (木) 14:43:35 JST


こんにちは。

以下の各コマンドの意味はiptablesのマニュアルにすべて記載されているので
すが、マニュアルを読んだ上で質問されてます?

…とこれだけではアレなので、

    iptables hashlimit

とかGoogle先生に聞いてみると、少しは幸せになれるかもしれません:-)

# 以前port 22のスキャンが世界的に蔓延してたとき、職場のサーバがアタック
# されてたのを守ろうとして、ただ、当時のCentOSのカーネルはhashlimitが導
# 入される前の2.6.9(?)を使ってたので、カーネルだけ手動で入れ替えたこと
# があったな…。hashlimitが導入されたのは2.6.10。いまのCentOSは2.6.18だ
# から手間をかけずにhashlimitが使えますね。

---ほり。

In article <KAW101-W417B5D1AEE95865850B3DDB1010 @ phx.gbl>,
	ondemand test <sti_test @ hotmail.co.jp> writes:
> 
> CentOS5.4にてApache2を使い、知り合いとかが作った音楽や画像を配布するサイトを運営してます。
>  
> 分割ツールを使った迷惑行為をする人間が多いのでどうにかできないかなと思ってます。
>  
> iptablesのルール設定を書いているところで下記を見つけました。
> 
> # 1秒間に4回を超えるpingはログを記録して破棄
> # ※Ping of Death攻撃対策
> iptables -N LOG_PINGDEATH
> iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
> iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
> iptables -A LOG_PINGDEATH -j DROP
> iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
> 
> 
> これを80番に同じIPから1秒間に5回以上のアクセスがあれば破棄にできるのでしょうか?
> 参考サイトなどあればお教えください。 		 	   		  
> _________________________________________________________________
> メール一括チェック!他のWebメールもプロバイダーメールも。
> http://windows7.jp.msn.com/master/hm-popaggre/default.htm
> _______________________________________________
> centos-users mailing list
> centos-users @ oss.poyo.jp
> http://oss.poyo.jp/mailman/listinfo/centos-users
> CentOS Japanese Planet:
> http://oss.poyo.jp/centos-ja/planet/
> 


centos-users メーリングリストの案内