On Sun, 8 Jun 2003, Leonard Milcin, Jr wrote: > Cezary Siwek wrote: > > - > > 213.89.63.151 - - [29/Nov/2002:09:45:04 +0100] "GET > > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-" > > > > > > Witam ! > > > > Najprosciej oczywiscie zrobic to mozna po stringu: > > > > iptables -A INPUT -m string --string "cmd.exe?"-j DROP > > iptables -A INPUT -m string --string "defaunt.ida?"-j DROP > > > > Pamietaj tylko o odpowiednio przygotowanym wczesniej kernelu i iptables > > (patch-o-matic) > > Proste i głupie, gdyż powodujesz niepotrzebne obciążenie systemu. > I tak i nie. Dodanie sztywnych regol do lancucha spowoduje wyciecie calkowite. A mozna sobie wyobrazis sytuacje, ze za maskarada siedzi 100 userow, jeden sieje a Ty blokujac IP odetniesz wszystkich od zyciodajnych informacji znajdujacych sie na stronie. Proste, skuteczne ale troche za bardzo.
A z tym obciazeniem to bym tak nie przeszkadzal. Administruje systemem w ktorym wstawilem okolo 250 regolek. ponad 100 to regolki modyfikujace (-t mangle). Jedna regolka string. NAT. Podzial pasma (htb) po 55 regolek na eth0 i eth1. Apache, ftp (uzywane raczej sporadycznie, ale caly czas dzialajace), ssh oczywiscie i bind9. Lacze to 512 in 112 out (lub jakos tak). Serwer P120, 32MB RAM, woody, linux 2.4.20-grsec Obciazenie procesora rzadko przekracza 10%. > Znacznie lepiej napisać skrypt, który nasłuchuje na access logu z apacha > i wrzuca reguły do łańcucha. Zgadzam sie z pierwszysmi czterema wyrazami :))) Inna sprawa jest, ze nie probowalem tego na 100mbit/s bo nie bylo mi to do niczego potrzebne, przy duzych przeplywach to o czym piszesz zaczeloby na pewno miec znaczenie. Pozdrawiam -- mirek p.s. na 7thGuard.net pojawil sie ostatnio jakis news o nowym klasyfikatorze pakietow.
