Проблемы с модулем string компонента iptables

О виртуальном выделенном сервере

Модераторы: dobs, ArniXXX, hostess, pseudo

Ответить
Сообщение
Автор
baytuch
Сообщения: 925
Зарегистрирован: Сб мар 14, 2009 00:23
Откуда: пгт. Войтовцы
Контактная информация:

Проблемы с модулем string компонента iptables

#1 Сообщение baytuch » Сб сен 27, 2014 01:53

Добрый день. Возникла проблема с фильтрацией пакетов по содержимому. Стояла задача ограничить подключения по 53 порту по критерию «доменное имя». Обнаружил довольно подозрительную активность на машине. После недолгого гугления нашел решение, но, как выяснилось, применить цепочку не удается из-за ошибки.

Код: Выделить всё

iptables: Invalid argument. Run `dmesg' for more information.
Вроде сам модуль присутствует:

Код: Выделить всё

# cat /proc/net/ip_tables_matches
string
string
owner
limit
owner
hashlimit
hashlimit
recent
length
ttl
tcpmss
multiport
multiport
tos
tos
dscp
state
icmp
udplite
udp
tcp
Доменное имя: doleta.gov
Применяемая цепочка:

Код: Выделить всё

iptables -I INPUT 1 -p udp --dport 53 -m string --algo kmp --hex-string "|06 64 6f 6c 65 74 61 03 67 6f 76 00|" -j REJECT
Изображение
Тобишь, отбрасывать udp/ip пакеты, в который содержится упоминание об это зоне.

У меня уже этой ерунды на 25 мег. накрутило
* http://savepic.ru/6011346.png

Код: Выделить всё

# ls -l  messages
-rw-r--r-- 1 root root 27064895 Сен 27 01:39 messages
Пока просто ограничил количество запросов за единицу времени, добавив несколько приоритетных цепочек, но это больше костыль, чем решение...

* * * * * * *

Жесть, за час отсеяло 16Мб пакетов:

Изображение

:shock:
Fusion Player — модуль для CMS PHP-Fusion (demo video: посмотреть)

Не использую пиратского ПО
IP-PBX Asterisk українською. Зроби краще!

«ХО» – мое все.
А ты перевел свой домен на DNSSEC?

Slackware userИзображение

baytuch
Сообщения: 925
Зарегистрирован: Сб мар 14, 2009 00:23
Откуда: пгт. Войтовцы
Контактная информация:

Re: Проблемы с модулем string компонента iptables

#2 Сообщение baytuch » Вт сен 30, 2014 17:34

Теперь все работает
Большое спасибо специалистам хостинга за решение моей проблемы
Fusion Player — модуль для CMS PHP-Fusion (demo video: посмотреть)

Не использую пиратского ПО
IP-PBX Asterisk українською. Зроби краще!

«ХО» – мое все.
А ты перевел свой домен на DNSSEC?

Slackware userИзображение

Ответить