Kann mir jemand das -limit und --limit-burst von den Iptables naeher erklaeren ?
Das ist das einzige was ich da nicht so ganz verstehe, weder die man noch ein howto
hat mir bisher geholfen. Kenn da jemand einen guten Text oder kann mir das mal erklaeren ?
Danke.

MfG

hiho;

ich versuchs mal....

der limiter ändert den zustand einer regel ab einem bestimmten schwellwert...

beispiel

du stellst den limiter auf 5, dann wird das bewirken, dass die regel solange matcht, solange dieser schwellwert nicht erreicht ist..ist dieser erreicht, trifft die regel nicht mher zu....

konkret: du sagst, eine regel trifft solange zu, bis im datenstrom mehr als 5 pakete enthalten sind, die ein gesetztes SYN-Bit enthalten...danach trifft sie nicht mehr zu und wird quasi übergangen...sollte jetzt beispielsweise als nächstes eine drop-all regel stehen, werden die pakete, die diesen schwellwert übersteigen verworfen...

tricky macht die ganze geschichte die sache mit dem burst, mit dem du einstellen kannst, für welche zeit der angenommene zustand gültigkeit haben soll und wie hoch der untere und obere schwellwert ist.......
um ehrlich zu sein, hab ich da auch noch nicht ganz hinter geblickt, wie das genau programmiert werden soll...

vielleicht konnte ich dir ja ein wenig weiterhelfen...

ciao

tommy

Ja, das habe ich jetzt zumindest schon etwas naeher begriffen.
Hab hier aber noch ein Prop ist mir aufgefallen. Meine tables nehmen
nur minute, hour etc. an aber kein second.
Wenn ich second angebe bekomm ich ein error.
Was kann das sein ?

--limit
Gefolgt von einer Zahl. Dies bestimmt die maximale
Durchschnitss- anzahl von erlaubten Treffern pro Sekunde. Die
Nummer kann explizit Einheiten bestimmen, indem '/second/',
'/minute/', '/hour/' oder wie '5/s').


quelle: http://www.linuxfaq.de/f/cache/382.html

wenn ich das richtig verstanden habe, sind sekunden die defaulteinstellung, die verwendet wird, wenn kein anderer parameter mit angegeben wird...

du kannst aber nochmal statt seconds 's' ausprobieren
beispiel:
iptables -A FORWARD -p tcp --syn -m limit 1/s -j ACCEPT
ciao

tommy

Ich versteh nicht wieso das hier nicht geht...

cbox:/etc/init.d# iptables -A FORWARD -p tcp --syn -m limit 1/s -j ACCEPT
Bad argument `1/s'

Der nimmt das nicht an... ob ich nun 1/s, 1/second, 1/seconds oder nur 1 nehme...

hmmm...ist sichergestellt, dass das limiter-modul auch geladen wurde bzw überhaupt auf deinem rechner ist??

könnte nämlich gut sein, dass nicht....

wenn nicht, würde ich diese module direkt fest in den kernel einkompileren...


ciao

tommy

Jo, sind fest im Kernel drin... das komische ist ja das es mit minute, hour, day etc geht.... nur mit second nicht

hmmm...vor nem jahr hatte ich das problem schon mal...

versuch mal, das s in verschiedene anführungszeichen zu setzten...

also 's' oder "s" und `s` sowie ´s´

wenn's dann nicht klappt, kann ich dir leider auch nicht mehr helfen....


ciao

tommy

ich kann dir doch noch weiterhelfen *g*

deine syntax war falsch....

hier ein unsinniges beispiel...das aber funktioniert...

iptables -A FORWARD -p udp -m limit --limit 1/s -j ACCEPT


das ist die richtige...achte auf das zweite limit nach dem -m limit dannn klappt das auch mit den sekunden

Ahjo, danke :)

Hab ich bei den rules darueber auch benutzt... nur die hab ich direkt aus nem howto kopiert....
da geht man das eigentlich erstmal von aus das die auch richtig sind :)
So gehts.