am Mon, dem 22.11.2004, um 17:56:32 +0100 mailte Richard Mittendorfer folgendes: > Am 2004-11-22 08:21:53 schrieb(en) Patrick Corneli�en: > >Richard Mittendorfer wrote: > >>iptables -m limit --limit 30/h --limit-burst 2 ...fuer port 22 tcp > > > >iptables -m limit --limit 30/h --limit-burst 2 -p 22 --protocol tcp > >--s ! 131.220.156.31 > > > >Habe ich das richtig verstanden? > >Der gew�nschte Effekt ist, da� eingehende tcp Verbindungen auf Port > >22(ssh) limitiert werden. Das Maximum sind 30 Verbindungen pro > >Stunde, ausser sie kommen von meiner IP. > > ich hab das eben erfolglos versucht, scheint als waehre das unfug.
Ohne es probiert zu haben: es ist Unfug, weil es maximal Sinn machen w�rde, das Limit auf SYN-Pakete zu setzen. Mit obiger Regel werden Verbindungen generell kaputt gemacht. Und Sicherheit gewinnt man _SO_ auch nicht. > > --source-rng, man iptables. > aber wenn eure erlaubten zugriffe von einer dynamischen ip kommen, kann > man mit der netmask entsprechende bereiche definieren. Damit �ffnet man aber auch Angreifern via DOS die T�r. LIMIT als Security-Regel zu nehmen ist IMHO einfach nur krank. > > ich denk' das logfile verwenden und daraus eine rule fuer iptables > (oder hosts.allow/xinetd) erstellen ist kein schlechter weg. einen Wenn ich wei�, da� Du das machst, mache ich spielend einfach Deinen Zugang kaputt. Okay, ich bin noch nicht drin, aber: Du auch nicht. Immerhin. Andreas, sinnvolle andere Wege genannt habend. -- Diese Message wurde erstellt mit freundlicher Unterst�tzung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082�, E 13.56889� ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
