Forums:
Saludos
Tengo un server centos 5.2 que trabaja como dns-cache para mi red interna que consta alrededor de 100pcs pero sin razon aparente deja de funcionar al parecer existen pcs que cuando ejecuto netstat existen miles de conexiones SYN_SENT abiertas desde varios puertos esto creo yo provoca algun tipo de inundacion en mi server que lo deja como muerto. Ahora he buscado en foros y creado una regla para evitar esa inundacion y la mayoria concuerda con estas regla, segun creo yo es una inundacion del tipo DDOS pero si estoy equivocado me corrijen xfavor
$IPTABLES -N syn-flood
$IPTABLES -A INPUT -i eth0 -p tcp --syn -j syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A syn-flood -j DROP
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
pero no da resultado, quiero saber como bloquear ese tipo de inundaciones o poner un limite con alguna regla de iptables para cuando se disparen esas peticiones se bloqueen . he usado el iptraf , jnettop o el iftop pero no me indican nada no puedo rastrear a la ip culpable. SI alguien puede darme una guia se lo agradeceria.
¿Dónde estas corriendo el
¿Dónde estas corriendo el netstat que muestra los SYN_SENT? ¿En el servidor o en tus clientes?
Es al ejecutar el netstat en
Es al ejecutar el netstat en mi pcs clientes
Juank
Si el SYN_SEND viene de tus
Si el SYN_SEND viene de tus clientes puedes activar un LOG en iptables para que te muestr desde donde exactmante viene el problema, por ejemplo:
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "NEW not syn:"
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Una pregunta las reglas que
Una pregunta las reglas que yo le pongo estan antes del enmascaramiento y veo que no funcionan , en que lugar de mi script seria recomendable ubicarlas. A mas que los ataques sucenden cuando no estoy por eso quisiera tener una regla de iptables que trabaje bien
Juank
Ponlas al final todo lo DROP
Ponlas al final todo lo DROP debe ir luego del ACCEPT, asi es la regla.