Gracias Hugo por la sugerencia, estoy viendo como adapto esto a shorewall.
Creo para shorewall algo así como:
DNS(ACCEPT):$LOG all $FW s:16/min:32 debería funcionar
En a cuenta que sacaste tuviste en cuenta los registros de la zona
directa solamente o de la inversa también????
Damián Tomey Soto
Administrador Red EQRO
Tel: (32) 413011 Ext. 1488
El 02/09/2014 a las #4, Hugo Florentino escribió:
On Fri, 29 Aug 2014 09:22:59 -0400, Alberto José García Fumero wrote:
Hugo, ¿cómo sería eso de limitar el tráfico de los paquetes UDP?
No es difícil, suma todos tus registros DNS, digamos que entre SOA,
NS, MX, A, PTR, CNAME y TXT tienes 16 registros. No tiene mucho
sentido que desde una misma IP hagan en un minuto mas peticiones de
tipo DNS que la cantidad de registros que tienes, pero asumiendo que
hagan peticiones incorrectamentes, puedes dar un margen de error,
entonces usas algo como esto en tu cortafuegos:
iptables -A INPUT -i $INTERFAZ -d $NAMESERVERIP -p udp -m udp --dport
53 -m state --state NEW -m hashlimit --hashlimit-upto 16/min
--hashlimit-burst 32 --hashlimit-mode srcip --hashlimit-name
dns_consulta -j ACCEPT
La idea es que desde una misma ip no hagan mas de 16 peticiones por
minuto (o 32 pero imponiendo entonces una espera de dos minutos) al
puerto 53, con lo cual cualquier intento de "navegación" usando ese
puerto debería quedar frenado. Obviamente que habría que tomar en
consideración cosas como que puede que hayan diferentes usuarios
auténticos detrás de un proxy o cortafuegos, pero el proxy/cortafuegos
debería ser lo suficientemente inteligente como para cachear las
consultas DNS de todas formas al menos por un corto plazo, de modo que
realmente no es necesario subir mucho los valores.
Nota: el estado NEW es opcional, pero es una seguridad que en mi
opinión no está de más. Curiosamente, aunque udp es un protocolo sin
control de estado de conexión, netfilter tiene una tabla temporal
donde almacena las conexiones entrantes y es capaz de saber si una
conexión udp es o no nueva.
Saludos, Hugo
P.D. Mis disculpas si no respondí esto antes, ayer estuve entretenido
una buena parte del día reparando unas corrupciones en el sistema de
archivos y otras boberías por el estilo.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20140902/a8407862/attachment.html>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
