On Fri, 29 Aug 2014 09:22:59 -0400, Alberto José García Fumero wrote:
Hugo, ¿cómo sería eso de limitar el tráfico de los paquetes UDP?
No es difícil, suma todos tus registros DNS, digamos que entre SOA, NS,
MX, A, PTR, CNAME y TXT tienes 16 registros. No tiene mucho sentido que
desde una misma IP hagan en un minuto mas peticiones de tipo DNS que la
cantidad de registros que tienes, pero asumiendo que hagan peticiones
incorrectamentes, puedes dar un margen de error, entonces usas algo como
esto en tu cortafuegos:
iptables -A INPUT -i $INTERFAZ -d $NAMESERVERIP -p udp -m udp --dport
53 -m state --state NEW -m hashlimit --hashlimit-upto 16/min
--hashlimit-burst 32 --hashlimit-mode srcip --hashlimit-name
dns_consulta -j ACCEPT
La idea es que desde una misma ip no hagan mas de 16 peticiones por
minuto (o 32 pero imponiendo entonces una espera de dos minutos) al
puerto 53, con lo cual cualquier intento de "navegación" usando ese
puerto debería quedar frenado. Obviamente que habría que tomar en
consideración cosas como que puede que hayan diferentes usuarios
auténticos detrás de un proxy o cortafuegos, pero el proxy/cortafuegos
debería ser lo suficientemente inteligente como para cachear las
consultas DNS de todas formas al menos por un corto plazo, de modo que
realmente no es necesario subir mucho los valores.
Nota: el estado NEW es opcional, pero es una seguridad que en mi
opinión no está de más. Curiosamente, aunque udp es un protocolo sin
control de estado de conexión, netfilter tiene una tabla temporal donde
almacena las conexiones entrantes y es capaz de saber si una conexión
udp es o no nueva.
Saludos, Hugo
P.D. Mis disculpas si no respondí esto antes, ayer estuve entretenido
una buena parte del día reparando unas corrupciones en el sistema de
archivos y otras boberías por el estilo.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
