Repository 32bit  Forum
Repository 64bit  Wiki

iptables fa i capricci con il --limit

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

iptables fa i capricci con il --limit

Messaggioda LordFire » ven ago 18, 2006 0:03

buonasera non capisco come mai in tutto il mio script di iptables mi dia il problema la seguente stringa:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/m -j ACCEPT

comunque vi allego il mio script completo:

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A FORWARD -o eth0 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 22 -i eth0 -j DNAT --to 192.168.2.240
iptables -A INPUT -s 0.0.0.0/0.0.0.0 -p tcp --dport 22 -j LOG
iptables -A INPUT -s 0.0.0.0/0.0.0.0 -p tcp --dport 80 -j LOG
iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -i eht0 -j DROP
iptables -A INPUT -s 127.0.0.1 -i eth0 -j DROP
iptables -A FORWARD -s 127.0.0.1 -i eth0 -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/m -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -i eth0 -p tcp --syn -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

vi chiedo se sapete se sbagli in qualcosa io con i passaggi oppure vanno in conflitto qualche regola!

a me mi da iptables: invalid argument quando cerco di farlo avviare, ma se cancello quella stringa lo script va alla grande!

vi ringrazio in anticipo!

:lol: :lol: :lol:
LordFire
Linux 1.0
Linux 1.0
 
Messaggi: 38
Iscritto il: dom nov 13, 2005 1:06

Re: iptables fa i capricci con il --limit

Messaggioda masalapianta » ven ago 18, 2006 10:14

LordFire ha scritto:buonasera non capisco come mai in tutto il mio script di iptables mi dia il problema la seguente stringa:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/m -j ACCEPT

a me mi da iptables: invalid argument quando cerco di farlo avviare, ma se cancello quella stringa lo script va alla grande!

man iptables, nella sezione del modulo limit, dice chiaramente che la sintassi e' sbagliata
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda LordFire » sab ago 19, 2006 2:45

mi dispiace ho provato anche a fare 2/s invece di 2/m ma purtroppo mi da lo stesso ed identico errore!
LordFire
Linux 1.0
Linux 1.0
 
Messaggi: 38
Iscritto il: dom nov 13, 2005 1:06

Messaggioda albatros » dom ago 20, 2006 10:19

A me funziona sia abbreviando /s e /m che non (ho copiato e incollato la tua direttiva)...
Hai compilato (come modulo o staticamente) il supporto a "limit match" nel kernel (se come modulo assicurati che sia caricato)?
A me capitò una cosa simile con -m state...
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda LordFire » dom ago 20, 2006 11:10

ok ora come posso ci do un occhiata! ti faccio sapere..
LordFire
Linux 1.0
Linux 1.0
 
Messaggi: 38
Iscritto il: dom nov 13, 2005 1:06

Messaggioda l1q1d » dom ago 20, 2006 11:14

io ho copiato pari pari quello che hai scritto e non mi ha dato errori di sorta, che kernel hai?
L'hai compilato tu?
Avatar utente
l1q1d
Master
Master
 
Messaggi: 1862
Iscritto il: lun feb 21, 2005 0:00
Località: In uno spazio n-dimesionale

Messaggioda LordFire » lun ago 21, 2006 12:26

ho il 2.4.27 no è di debian! non l'ho compilato io! per questo devo dargli un occhiata di persona!
LordFire
Linux 1.0
Linux 1.0
 
Messaggi: 38
Iscritto il: dom nov 13, 2005 1:06

Messaggioda l1q1d » lun ago 21, 2006 13:26

Sei sicuro che il 2.4 implementi questa feature? Potrebbe essere stata ggiunta al 2.6...
Avatar utente
l1q1d
Master
Master
 
Messaggi: 1862
Iscritto il: lun feb 21, 2005 0:00
Località: In uno spazio n-dimesionale

Messaggioda masalapianta » gio ago 24, 2006 13:46

LordFire ha scritto:mi dispiace ho provato anche a fare 2/s invece di 2/m ma purtroppo mi da lo stesso ed identico errore!

ripeto: man iptables nella sezione del modulo limit dice chiaramente che la sintassi che hai usato e' sbagliata:

--limit rate
Maximum average matching rate: specified as a number, with an optional `/second', `/minute', `/hour', or
`/day' suffix; the default is 3/hour.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda albatros » gio ago 24, 2006 22:34

Credo sia un problema di kernel.
Infatti ho provato con:
Codice: Seleziona tutto
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/m -j ACCEPT

ottenendo:
Codice: Seleziona tutto
iptables -L > log && grep limit log
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 2/min burst 5

Evidentemente si può abbreviare la sintassi indicata da man iptables... :)
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Bing [Bot] e 1 ospite