iptables 问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 3286 天前的主题，其中的信息可能已经有所发展或是发生改变。

能不能写个udp过虑用于dns服务器
把53端口限制每个ip 60秒只能请求一次来防止查询攻击

过虑

udp

iptables

5 条回复 • 2015-04-29 18:38:09 +08:00

millken

2015-04-28 21:48:08 +08:00

UDP包的源IP是可以伪造的，限制IP是不可行的。
现在常规的防查询都是硬防直接转TCP

extreme

2015-04-28 23:53:22 +08:00

为什么你们那么喜欢答非所问？

iptables -I OUTPUT 1 -m hashlimit -p udp --dport 53 --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-name dnsquery --hashlimit-upto 1/min -j ACCEPT
iptables -I OUTPUT 2 -p udp --dport 53 -j DROP
这个规则的意思是，针对UDP协议且目标端口为53的数据包，每个/32(一个IP)在一分钟内仅能发出一个。
理论上一次DNS查询是发送出一个UDP数据包，实际上我也不清楚，期待有了解的人解说一下。

holinhot

2015-04-29 09:30:06 +08:00

@extreme 上面说的伪造ip那不是规则作用不大了

extreme

2015-04-29 18:37:14 +08:00

@holinhot 汽车前后的车牌可以伪造呢，那交警记录车票号码意义不大了对吧？
毕业证书可以伪造呢，那企业招聘人看毕业证书意义不大了对吧？
身份证可以伪造呢，那用身份证验证身份的意义不大了对吧？你身边可以伪造的东西多着呢，意义都不大了，对吧？

extreme

2015-04-29 18:38:09 +08:00

@holinhot 汽车前后的车牌可以伪造呢，那交警记录车牌号码意义不大了对吧？
毕业证书可以伪造呢，那企业招聘人看毕业证书意义不大了对吧？
身份证可以伪造呢，那用身份证去验证身份的意义不大了对吧？
你身边可以伪造的东西多着呢，意义都不大了，对吧？