iptables -A INPUT -m state --state NEW -m recent --set # If we receive more than 10 connections in 10 seconds block our friend.
iptables -A INPUT -m state --state NEW -m recent --update --seconds 5 --hitcount 15 -j Log-N-Drop
Tengo estas dos reglas relevantes de iptables. si se realizan más de 15 conexiones en 5 segundos, registra el intento y lo bloquea. ¿Cuánto tiempo mantiene iptables el contador? ¿Se actualiza si se vuelven a intentar las conexiones?
Respuesta1
Si se realizan más de 15 conexiones en cinco segundos, sus conexiones se rechazan hasta cinco segundos después de recibir el último paquete.
Respuesta2
Puede obtener ayuda sobre este módulo ejecutando iptables -m recent --help:
La principal opción relacionada con su pregunta es:
[!] --update Match if source address in list, also update last-seen time.
Entonces, tengo entendido que con --update se actualizará, pero necesitaría esa actualización antes de la caída. Por lo tanto, si es el primero, 'caducará'. Los ejemplos sobre elpagina del autorpodría ayudar también. También entra en juego el siguiente parámetro del módulo por si vienen más IP:
ip_list_tot=100; Número de direcciones recordadas por tabla
Editar: Honestamente, pensándolo más, estoy un poco confundido acerca de todos los escenarios posibles. Probaría esto mucho creando diferentes direcciones IP de origen con algo como scapy para fping. El siguiente parámetro del módulo también podría ayudar:
debug=0 ; Set to 1 to get lots of debugging info
Quizás alguien que haya experimentado con las opciones tenga una mejor respuesta, lo siento :-/