iptables 问题

2015-04-28 20:44:42 +08:00
 holinhot

能不能写个udp过虑用于dns服务器
把53端口限制每个ip 60秒只能请求一次来防止查询攻击

2409 次点击
所在节点    Linux
5 条回复
millken
2015-04-28 21:48:08 +08:00
UDP包的源IP是可以伪造的,限制IP是不可行的。
现在常规的防查询都是硬防直接转TCP
extreme
2015-04-28 23:53:22 +08:00
为什么你们那么喜欢答非所问?

iptables -I OUTPUT 1 -m hashlimit -p udp --dport 53 --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-name dnsquery --hashlimit-upto 1/min -j ACCEPT
iptables -I OUTPUT 2 -p udp --dport 53 -j DROP
这个规则的意思是,针对UDP协议且目标端口为53的数据包,每个/32(一个IP)在一分钟内仅能发出一个。
理论上一次DNS查询是发送出一个UDP数据包,实际上我也不清楚,期待有了解的人解说一下。
holinhot
2015-04-29 09:30:06 +08:00
@extreme 上面说的伪造ip那不是规则作用不大了
extreme
2015-04-29 18:37:14 +08:00
@holinhot 汽车前后的车牌可以伪造呢,那交警记录车票号码意义不大了对吧?
毕业证书可以伪造呢,那企业招聘人看毕业证书意义不大了对吧?
身份证可以伪造呢,那用身份证验证身份的意义不大了对吧?你身边可以伪造的东西多着呢,意义都不大了,对吧?
extreme
2015-04-29 18:38:09 +08:00
@holinhot 汽车前后的车牌可以伪造呢,那交警记录车牌号码意义不大了对吧?
毕业证书可以伪造呢,那企业招聘人看毕业证书意义不大了对吧?
身份证可以伪造呢,那用身份证去验证身份的意义不大了对吧?
你身边可以伪造的东西多着呢,意义都不大了,对吧?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/187078

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX