Dne 14. 5. 2014 20:03, Radek Krejča napsal(a):
mam posledni dobou problem, ze mi utoci na me dns servery. Pouzivam jako
firewall pf, ale potreboval bych, zda lze v nem udelat pravidlo, ktery zni
nasledovne:
pokud je pocet paketu odpovidajici pravidlu za urcitou dobu roven urcitemu
poctu, pot
> Ono by to tady asi slo i v ramci toho PF (pokud by to teda fungovalo na
> UDP), protoze regulerni dotazy asi nebudou ve velkem z jedne IP.
> Na druhou stranu, pokud se u tech dotazu neustale meni zdrojova IP
> adresa, tak se to bude spatne filtrovat jakymkoliv zpusobem.
>
To se sice meni, ale v
Radek Krejča wrote:
Problem je, ze nemuzu bloknout na me strane prichozi UDP na DNS, protoze hodne
uzivatelu tam ty dns servery take maji (toto ale zrovna neni ten pripad).
Jestli dobre chapu popis accf_dns, tak na tohle mi nepomuze, to zafunguje tam,
kde ten nameserver skutecne bezi, chapu to
>
> Nepadla tu zminka o jaky konkretni utok se jedna, tak jen od boku
> nahodim, jestli by treba nepomohl kernelovy modul accf_dns, viz man
> accf_dns.
Jedna se o utok, kdy z mnoha adres prichazi UDP DNS pozadavky na vsechny adresy
v nasem AS. Hlavnim problemem jsou klientske domaci routery uziv
Dňa 14.5.2014 23:50 Radek Krejča wrote / napísal(a):
Ahoj, tak tohle je plan B, chtel jsem to resit nejakym relativne jednoduchym
pravidlem v ramci PF, nicmene asi nebude zbyti a budu to resit nejak podobne,
ono to asi jinak ani nejde. Co se tyce tohoto typu utoku, tak je o nem napsano
spousta
Radek Krejča wrote:
Ahoj, tak tohle je plan B, chtel jsem to resit nejakym relativne jednoduchym
pravidlem v ramci PF, nicmene asi nebude zbyti a budu to resit nejak podobne,
ono to asi jinak ani nejde. Co se tyce tohoto typu utoku, tak je o nem napsano
spousta clanku, ale jednoduche reseni j
> -Original Message-
> From: users-l-boun...@freebsd.cz [mailto:users-l-boun...@freebsd.cz] On
> Behalf Of Jozef Drahovsky
> Sent: Wednesday, May 14, 2014 11:40 PM
> To: FreeBSD mailing list
> Subject: Re: PF ve FBSD blokovani na zaklade pocitani
>
> Riesim to tak, ze mam script v perle, k
Riesim to tak, ze mam script v perle, ktory kazdu minutu vykona ipfw
show a prebehne syslog-ng.
Zanalyzuje hity a potom sa rozhodne ake pravidla prida alebo ubere.
Nie je problem nastavit logiku, ze po konkretnom type cinnosti (utokov)
odstavi danu IP na primerany cas.
Jozef
Dňa 14.5.2014 23
> Na UDP jsem to nikdy nezkousel, ale na TCP pro ssh i pro http provoz to
> pouzivam celkem bezne a funguje to presne tak, jak si to clovek
> nastavi.
> Na ssh se s tim daji celkem dobre blokovat ty automatizovane utoky, co
> zkousi hadat hesla.
>
Ahoj, no prave zjistuji, ze na UDP mi to nefunguj
Radek Krejča wrote:
Ahoj,
to asi uniklo mne, diky moc, zkusim, zda je to ono.
http://www.openbsd.org/faq/pf/filter.html#udpstate
pass in on $ext_if proto tcp to $web_server \
port www flags S/SA keep state \
(max-src-conn 100, max-src-conn-rate 15/5, overload
flush)
Na UDP jsem
Ahoj,
to asi uniklo mne, diky moc, zkusim, zda je to ono.
R
> mozno mi nieco unika ale nie je nahodou
>
> http://www.openbsd.org/faq/pf/filter.html#udpstate
>
> to co potrebujes? Example priklad specificky spomina rate limit pre udp
> spojenia
>
> An example:
>
> table persist
> block in q
Cau,
mozno mi nieco unika ale nie je nahodou
http://www.openbsd.org/faq/pf/filter.html#udpstate
to co potrebujes? Example priklad specificky spomina rate limit pre udp spojenia
An example:
table persist
block in quick from
pass in on $ext_if proto tcp to $web_server \
port www flags S/S
Ahoj,
mam posledni dobou problem, ze mi utoci na me dns servery. Pouzivam jako
firewall pf, ale potreboval bych, zda lze v nem udelat pravidlo, ktery zni
nasledovne:
pokud je pocet paketu odpovidajici pravidlu za urcitou dobu roven urcitemu
poctu, potom block
Nejakou dobu nazad jsem videl v l
13 matches
Mail list logo
