LinuxMint.com.ru

Флудят на 80 и 443 порты.

netstat -na | grep :80 | wc -l
1913

netstat -na | grep :443 | wc -l
1893

Временно добавил в iptables строчки для ограничения числа входящих запросов (не более 20 с адреса), однако правила не применяются, флуд проходит сотнями запросов с одного IP.

Вот вывод: iptables -L --line-numbers

Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 #conn src/32 > 20 reject-with icmp-port-unreachable
2 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 #conn src/32 > 20 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587 owner GID match 986
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587 owner GID match 12
3 ACCEPT tcp -- 0.0.0.0/0 127.0.0.1 multiport dports 25,465,587 owner UID match 989
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587 owner UID match 0
5 DROP all -- 0.0.0.0/0 172.0.0.0/8

А вот весь iptables-save

# Generated by iptables-save v1.8.5 on Thu May 2 08:16:37 2024
*filter
:INPUT ACCEPT [54866067:7369417328]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [19474906:16277922634]
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 443 -m connlimit --connlimit-above 20 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --gid-owner 986 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --gid-owner 12 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p tcp -m multiport --dports 25,465,587 -m owner --uid-owner 989 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --uid-owner 0 -j ACCEPT
-A OUTPUT -d 172.0.0.0/8 -j DROP
COMMIT
# Completed on Thu May 2 08:16:37 2024
# Generated by iptables-save v1.8.5 on Thu May 2 08:16:37 2024
*security
:INPUT ACCEPT [56147991:7488017569]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [19488749:16279415545]
COMMIT
# Completed on Thu May 2 08:16:37 2024
# Generated by iptables-save v1.8.5 on Thu May 2 08:16:37 2024
*raw
:PREROUTING ACCEPT [216164241:17130911346]
:OUTPUT ACCEPT [19842883:16303553614]
COMMIT
# Completed on Thu May 2 08:16:37 2024
# Generated by iptables-save v1.8.5 on Thu May 2 08:16:37 2024
*mangle
:PREROUTING ACCEPT [216164241:17130911346]
:INPUT ACCEPT [216164241:17130911346]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [19842883:16303553614]
:POSTROUTING ACCEPT [19488749:16279415545]
COMMIT
# Completed on Thu May 2 08:16:37 2024
# Generated by iptables-save v1.8.5 on Thu May 2 08:16:37 2024
*nat
:PREROUTING ACCEPT [168871059:9885877086]
:INPUT ACCEPT [14851116:869997452]
:POSTROUTING ACCEPT [511310:601126199]
:OUTPUT ACCEPT [513188:601273747]
-A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --gid-owner 986 -j RETURN
-A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --gid-owner 12 -j RETURN
-A OUTPUT -d 127.0.0.1/32 -p tcp -m multiport --dports 25,465,587 -m owner --uid-owner 989 -j RETURN
-A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --uid-owner 0 -j RETURN
-A OUTPUT -p tcp -m multiport --dports 25,465,587 -j REDIRECT
COMMIT
# Completed on Thu May 2 08:16:37 2024

CaMINTcadze писал(а): ↑
02 май 2024, 10:43
сотнями запросов с одного IP

А этот "один" IP имеет цифры или диапазон цифр?

madesta писал(а): ↑
02 май 2024, 12:40
А этот "один" IP имеет цифры или диапазон цифр?

нет, IP множество, они постоянно меняются

CaMINTcadze писал(а): ↑
02 май 2024, 11:39
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable

1. Есть уверенность что именно по TCP протоколу стучат? Могут ведь по UDP, а оно в вашем правиле не включено. Да, по UDP на TCP не прицепишься, но загрузить обработкой - можно.
2. В вышеприведенном правиле режется только количество одновременных соединений, а не флуд syn пакетами в одну нитку - чем достают гораздо чаще. Чтобы не доставали - нужно другое правило, которое будет резать именно этот флуд.

P.S. Я бы рекомендовал смотреть в сторону Arno's iptables firewall - https://github.com/arno-iptables-firewall/aif
Ставить с гита не нужно - оно есть в пакетах системы. Данный скрипт-daemon позволяет конифигурить iptables через достаточно просто читаемые самодокументированные конфиги в etc, и даже имеет мастер настройки в .deb пакете. У него есть модули и на подобную защиту.

LinuxMint.com.ru

Игнор директив IPTABLES. Дудосят.

Игнор директив IPTABLES. Дудосят.

Игнор директив IPTABLES. Дудосят.

Игнор директив IPTABLES. Дудосят.

Игнор директив IPTABLES. Дудосят.

Игнор директив IPTABLES. Дудосят.