[freebsd] pf icmp max-src-conn-rate

Fri Jan 26 13:05:29 EET 2018

Т.е. max-src-conn-rate актуально только для tcp? (udp)
Для icmp не отрабатывает.

Да, запись в лог, анализ логов, и принятие решения - выход :)
Но хотелось средствами pf.

26.01.2018 13:00, Anton Sayetsky пишет:
> 26 янв. 2018 г. 12:57 пользователь "Mikhail Golub" <gmn at gmn.org.ua 
> <mailto:gmn at gmn.org.ua>> написал:
> 
>     26.01.2018 11:54, Irina Liakh пишет:
> 
>         On Thu, Jan 25, 2018 at 09:57:38AM +0200, Mikhail Golub wrote:
> 
> 
>             Подскажите, плиз, как лимитировать количество пингов в
>             единицу времени?
>             С помощью pf не срабатывает :(
> 
>             pass in quick on $int_if proto icmp keep state
>             (max-src-conn-rate 1/5,
>             overload <test> flush)
> 
>             Таблица пустая.
> 
>             P.S. Зачем это надо.
>             Для того, чтобы лимитировать "забытые" запущенные пинги с
>             чужих хостов.
>             Заметил на одном из хостов, смотрящих в Интернет, пинги. И
>             идут они
>             постоянно. Вопрос - зачем?
>             Или кто-то запустил и забыл, или мониторят доступность.
> 
> 
>         В каком смысле "лимитировать"? Средствами Вашего хоста Вы не можете
>         запретить приходить пакетам, только можете не отвечать на них.
> 
> 
>     Речь идет об ICMP echo.
>     Например, пропустить пять пакетов за 10 секунд с одного хоста, а
>     остальное - выполнить действие ... (поместить ip src в таблицу)
> 
>         sysctl net.inet.icmp.icmplim
> 
>     Немного не то.
>     Хочется управляемого поведения и не для всех ... а только для сети
>     Интернет.
> 
>     P.S. Кстати, из-за чего написал вопрос - пинги на мой хост так и
>     идут с другого хоста в сети Интернет.
>     Да, я могу его забанить в ручном режиме.
>     Но хочется чтобы автоматом - пришло, например, 10 пингов подряд -
>     после 11 поместить в таблицу ...
> 
> action = accept log, а дальше fail2ban.