主页 / server / 问题 / 73175
Accepted
neoice
Asked: 2009-10-10 19:08:43 +0800 CST

iptables connlimit 意外触发

  • 772

我一直在使用这些防火墙规则:

-I FORWARD -p tcp --syn -m connlimit --connlimit-above 50 -j REJECT
-I FORWARD -p tcp --syn -m connlimit --connlimit-above 50 -j LOG --log-prefix "CONNLIMIT: " --log-level debug

看起来很简单:防止某人打开超过 50 个连接并导致拒绝服务。我已经成功地测试了它对slowloris。我专门将限制提高到 50,以防止误报问题(Apache 可能非常需要连接。)但是,今天早上,我从 Nagios 监视器收到一封电子邮件,我的日志显示了几行“CONNLIMIT”和源IP是我的监控系统。

我不知道为什么会这样。最多,我的监控服务器应该执行 5-10 次检查,并且可能执行 ping 或 SSH 连接。如果我打开了超过 25 个连接,我会感到震惊,但是连续两个周末,我成功地触发了 connlimit 50 并且粗鲁地唤醒了自己。

我的防火墙规则有问题吗?(也许添加“新”标志?) Nagios 是否没有正确关闭其连接?我什至不确定如何继续调试这个问题,而不是记录线路上的每个数据包并耐心地等待我的手机在某个可怕的时间关闭。

[编辑:只是为了好玩,这里是服务器日志]

Oct  9 11:33:22 adapt kernel: [1888526.442640] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=2076 DF PROTO=TCP SPT=46536 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Oct  9 11:34:22 adapt kernel: [1888586.443869] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=43048 DF PROTO=TCP SPT=57931 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Oct  9 11:35:42 adapt kernel: [1888667.011376] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=19161 DF PROTO=TCP SPT=63669 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Oct  9 11:35:48 adapt kernel: [1888673.093663] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=48302 DF PROTO=TCP SPT=63673 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Oct  9 11:35:53 adapt kernel: [1888678.361267] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=11711 DF PROTO=TCP SPT=63677 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Oct  9 11:36:04 adapt kernel: [1888688.517868] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=6316 DF PROTO=TCP SPT=44206 DPT=443 WINDOW=5840 RES=0x00 SYN URGP=0
Oct  9 11:36:21 adapt kernel: [1888705.382273] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=29613 DF PROTO=TCP SPT=63697 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Oct  9 11:36:49 adapt kernel: [1888733.467511] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=52433 DF PROTO=TCP SPT=40930 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Oct  9 11:37:04 adapt kernel: [1888748.574700] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=26329 DF PROTO=TCP SPT=44223 DPT=443 WINDOW=5840 RES=0x00 SYN URGP=0

我们可以看到它正在检查几个端口并大约每分钟发出一次检查。

linux

2 个回答

  1. Best Answer

    你可能recent不想connlimit

    这是我的一个限制 SSH 连接的主机的示例:

    iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_Brute_Force
iptables -A SSH_Brute_Force -m recent --set --name SSH --rsource
iptables -A SSH_Brute_Force -m recent ! --update --seconds 120 --hitcount 5 --name SSH --rsource -j RETURN
iptables -A SSH_Brute_Force -m recent --update --name SSH --rsource
iptables -A SSH_Brute_Force -p tcp -j DROP

    或者:

    • 只有 SSH 数据包已被选择进入链
    • 将连接分配到“SSH”最近队列
    • 设置 120 秒的超时时间,在此期间最多有 5 个新连接,返回不应限制的调用链会话(调用链然后允许好主机)
    • 更新连接列表
    • 丢弃数据包
    • 1

  2. 触发规则时,您是否在 netstat 中看到来自监控主机的打开连接?

    路由器上的 /proc/net/ip_conntrack 怎么样?

    ISTR that connlimit 实际上限制了所有符合此规则的连接,这是一个非常普遍的规则。由于其他连接通过路由器,数字是否会上升到 50?

    如何添加调试规则以确定实际发生的情况:

    -I FORWARD -p tcp --syn -s [MONITOR] -j LOG --log-prefix "MONITOR CONNECT: " --log-level debug
    • 0

相关问题