Mario Gonzalez escribió:
Hola, en primer lugar, el PC que defiendes con iptables es un servidor
muy concurrido o solo es una estacion de trabajo?? No se de donde eres
pero esas ip me parecen conocidas. Yo soy de Chile.
El sáb, 20-11-2004 a las 09:26 +0100, Alonso Gomez escribió:
Hola a [EMAIL PROTECTED], tengo un gran problema al parece me estan haciendo
ataques
de denegación de servicio y me deja la red totalmente colapsada ya no se
que hacer haber si alguien me puede ayudar.
Esto me sale en el syslog:
kernel: NET: 1064 messages suppressed.
ip_conntrack: table full, dropping packet.
Asi muchos logs.
Esto me sale en los logs de apache:
200.83.206.61 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503 398
200.86.219.80 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 200 12
200.112.102.252 - - [20/Nov/2004:09:21:12 +0100] "GET / HTTP/1.1" 503398
200.86.219.80 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.161.87 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.104.54.3 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.120.87.232 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.90.210.62 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.86.219.80 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.112.102.252 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503
398
200.90.210.62 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.206.61 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.83.161.87 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.86.252.171 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
200.104.54.3 - - [20/Nov/2004:09:21:13 +0100] "GET / HTTP/1.1" 503 398
He intentado ir cerrando estas ips pero nada me van saliendo otras
distintas.
En el iptables tengo las siguientes reglas:
iptables -t filter -A INPUT -p tcp --syn -m limit --limit 1/s -i eth0 -j
ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --
limit 1/s -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --dport www -m limit --limit 1/second -j
REJECT
Gracias por anticipado y saludos.
Si vas a www.lacnic.net y pones la IP 200.83.206.61 en el campo WHOIS,
obtienes esta informacion, si de algo te sirve.
inetnum: 200.83/16
status: allocated
owner: VTR BANDA ANCHA S.A.
ownerid: CL-VPNS-LACNIC
responsible: Italo Sambuceti
address: Reyes Lavalle, 3340, 4th floor
address: 6760335 - Santiago -
country: CL
phone: +56 02 3101502 []
owner-c: ISO
tech-c: ISO
inetrev: 200.83/16
nserver: NS00.VTR.NET
nsstat: 20041120 UDN
nslastaa: 20020830
nserver: NS01.VTR.NET
nsstat: 20041120 UDN
nslastaa: 20020830
remarks: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
created: 20011213
changed: 20020627
nic-hdl: ISO
person: Italo Sambuceti Oyarzún
e-mail: [EMAIL PROTECTED]
address: Reyes Lavalle, 3340, 4 th floor
address: 676-0335 - Santiago -
country: CL
phone: +56 02 3101609 []
created: 20020906
changed: 20021122
--
Francisco
