https://ssl.opennet.dev/openforum/vsluhforumID10/5485.html Всем привет, форумчане. Вообщем есть правила:<br>-P INPUT DROP<br>-A INPUT -i -lo -j ACCEPT<br>-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT<br>-A INPUT -p udp -m multiport --dports 27015:27020 -m state --state NEW -m hashlimit --hashlimit-upto 104/sec --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT<br><br>Использую такой метод защиты от DoS атак UDP протокола.<br>Приложение передает не более 104 пакета в секунду.<br>По сути защита не должна пускать тех, кто превышает 104 пакета.<br>Когда я атакую свой выделенный сервер, оно так и происходит...<br>Например я посылаю 150 000 пакетов... <br>Но через некоторое время почему-то я попадаю в состояние ESTABLISHED и большое количество пакетов попадает в приложение. Возможно я что-то напутал в правилах? <br>И если я попадаю в ESTABLISHED, есть возможность отфильтровать пакеты? Спасибо.<br><br> https://ssl.opennet.dev/openforum/vsluhforumID10/5485.html#3 Tue, 19 Mar 2019 19:11:28 GMT Решение: <br>-A INPUT DROP<br>-A INPUT -i -lo -j ACCEPT //Разрешаем входящие соединения для локальной сети<br>-A INPUT -p udp -m multiport --dports 27015:27020 -m hashlimit --hashlimit-upto 104/sec --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT //Если пакетов меньше 104 в секунду, пропускаем их<br>-A INPUT -p udp -m multiport --dports 27015:27020 -j DROP //Если больше, то дропаем<br>-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT //Разрешаем установленные соединения<br> https://ssl.opennet.dev/openforum/vsluhforumID10/5485.html#2 Tue, 19 Mar 2019 16:48:46 GMT &gt;[оверквотинг удален]<br>&gt; советую попасть сначала в гугл и основательно почитать базовую документацию <br>&gt; но если пакет уже попал в ACCEPT/DROP - то остальные правила после <br>&gt; него уже необрабатываются, <br>&gt; это основная аксиома работы с iptables , советую отойти от консоли пока <br>&gt; его не поймёшь <br>&gt; твои правила в том виде что они есть лишены смысла <br>&gt;&gt; -A INPUT -p udp -m multiport --dports 27015:27020 -m state --state NEW -m hashlimit --hashlimit-upto 104/sec --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT <br>&gt; убери -m state NEW и поставь правило выше -A INPUT -m conntrack <br>&gt; --ctstate ESTABLISHED -j ACCEPT <br>&gt; так оно будет работать как ты хочешь <br><br>К сожалению... нет, опять я попадаю в ESTABLISHED и не отсеиваю пакет, который превысил мои правила<br>alex@server:~# iptables -L -v -n<br>Chain INPUT (policy DROP 34506 packets, 1274K bytes)<br> pkts bytes target prot opt in out source destination<br> 0 0 ACCEPT all -- -lo * 0.0.0.0/0 https://ssl.opennet.dev/openforum/vsluhforumID10/5485.html#1 Tue, 19 Mar 2019 16:27:59 GMT &gt; И если я попадаю в ESTABLISHED, есть возможность отфильтровать пакеты? Спасибо.<br><br>тебе виднее куда ты там попадаешь<br>советую попасть сначала в гугл и основательно почитать базовую документацию<br><br>но если пакет уже попал в ACCEPT/DROP - то остальные правила после него уже необрабатываются,<br>это основная аксиома работы с iptables , советую отойти от консоли пока его не поймёшь<br><br>твои правила в том виде что они есть лишены смысла<br><br>&gt; -A INPUT -p udp -m multiport --dports 27015:27020 -m state --state NEW -m hashlimit --hashlimit-upto 104/sec --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT<br><br>убери -m state NEW и поставь правило выше -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT<br><br>так оно будет работать как ты хочешь<br><br><br>