[freebsd] pf icmp max-src-conn-rate
Mikhail Golub
gmn at gmn.org.ua
Fri Jan 26 13:05:29 EET 2018
Т.е. max-src-conn-rate актуально только для tcp? (udp)
Для icmp не отрабатывает.
Да, запись в лог, анализ логов, и принятие решения - выход :)
Но хотелось средствами pf.
26.01.2018 13:00, Anton Sayetsky пишет:
> 26 янв. 2018 г. 12:57 пользователь "Mikhail Golub" <gmn at gmn.org.ua
> <mailto:gmn at gmn.org.ua>> написал:
>
> 26.01.2018 11:54, Irina Liakh пишет:
>
> On Thu, Jan 25, 2018 at 09:57:38AM +0200, Mikhail Golub wrote:
>
>
> Подскажите, плиз, как лимитировать количество пингов в
> единицу времени?
> С помощью pf не срабатывает :(
>
> pass in quick on $int_if proto icmp keep state
> (max-src-conn-rate 1/5,
> overload <test> flush)
>
> Таблица пустая.
>
> P.S. Зачем это надо.
> Для того, чтобы лимитировать "забытые" запущенные пинги с
> чужих хостов.
> Заметил на одном из хостов, смотрящих в Интернет, пинги. И
> идут они
> постоянно. Вопрос - зачем?
> Или кто-то запустил и забыл, или мониторят доступность.
>
>
> В каком смысле "лимитировать"? Средствами Вашего хоста Вы не можете
> запретить приходить пакетам, только можете не отвечать на них.
>
>
> Речь идет об ICMP echo.
> Например, пропустить пять пакетов за 10 секунд с одного хоста, а
> остальное - выполнить действие ... (поместить ip src в таблицу)
>
> sysctl net.inet.icmp.icmplim
>
> Немного не то.
> Хочется управляемого поведения и не для всех ... а только для сети
> Интернет.
>
> P.S. Кстати, из-за чего написал вопрос - пинги на мой хост так и
> идут с другого хоста в сети Интернет.
> Да, я могу его забанить в ручном режиме.
> Но хочется чтобы автоматом - пришло, например, 10 пингов подряд -
> после 11 поместить в таблицу ...
>
> action = accept log, а дальше fail2ban.
More information about the freebsd
mailing list