El mar, 02-09-2014 a las 09:39 -0400, Hugo Florentino escribió: > On Fri, 29 Aug 2014 09:22:59 -0400, Alberto José García Fumero wrote: > > Hugo, ¿cómo sería eso de limitar el tráfico de los paquetes UDP? > > > > No es difícil, suma todos tus registros DNS, digamos que entre SOA, NS, > MX, A, PTR, CNAME y TXT tienes 16 registros. No tiene mucho sentido que > desde una misma IP hagan en un minuto mas peticiones de tipo DNS que la > cantidad de registros que tienes, pero asumiendo que hagan peticiones > incorrectamentes, puedes dar un margen de error, entonces usas algo como > esto en tu cortafuegos: > > iptables -A INPUT -i $INTERFAZ -d $NAMESERVERIP -p udp -m udp --dport > 53 -m state --state NEW -m hashlimit --hashlimit-upto 16/min > --hashlimit-burst 32 --hashlimit-mode srcip --hashlimit-name > dns_consulta -j ACCEPT > > La idea es que desde una misma ip no hagan mas de 16 peticiones por > minuto (o 32 pero imponiendo entonces una espera de dos minutos) al > puerto 53, con lo cual cualquier intento de "navegación" usando ese > puerto debería quedar frenado. Obviamente que habría que tomar en > consideración cosas como que puede que hayan diferentes usuarios > auténticos detrás de un proxy o cortafuegos, pero el proxy/cortafuegos > debería ser lo suficientemente inteligente como para cachear las > consultas DNS de todas formas al menos por un corto plazo, de modo que > realmente no es necesario subir mucho los valores. > > Nota: el estado NEW es opcional, pero es una seguridad que en mi > opinión no está de más. Curiosamente, aunque udp es un protocolo sin > control de estado de conexión, netfilter tiene una tabla temporal donde > almacena las conexiones entrantes y es capaz de saber si una conexión > udp es o no nueva. > > Saludos, Hugo > > P.D. Mis disculpas si no respondí esto antes, ayer estuve entretenido > una buena parte del día reparando unas corrupciones en el sistema de > archivos y otras boberías por el estilo.
Está bueno eso de que te estés disculpando por no haber podido antes dedicar parte de tu poco tiempo libre a resolverle gratis una duda a un colega, y además darle una explicación completa...sí que eres exagerado ;-) Voy a probar eso a ver cómo se comporta. -- M.Sc. Alberto García Fumero Usuario Linux 97 138, registrado 10/12/1998 Las autoridades sanitarias advierten: El uso prolongado de Windows puede provocar dependencia. -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est� limpio.
______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
