max-src-conn-rate och max-src-conn för udp

[Janne Johansson]

On Wed, May 08, 2013 at 15:18+0200, Leif Larsson (leif.larsson at l3system.se) wrote:
> Goddag listan!
> 
> Skulle behöva limitera udp trafik (DNS) till ett par servrar med något 
> liknande max-src-conn-rate och max-src-conn i pf.
> 
> Det finns en "keep state" för udp i pf som jag hoppades på men tyvärr 
> fungerar det bara med tcp....
> 
> Ni känner säkert igen detta exempel, jag skulle vilja göra detsamma fast 
> med udp...
> 
> 
> table <bruteforce> persist
> block quick from <bruteforce>
> pass inet proto tcp from any to any port 22 \
>         flags S/SA keep state \
> 	(max-src-conn 100, max-src-conn-rate 15/5, \
>          overload <bruteforce> flush global)ist

Nästan så att man får nöja med mig att altq:a udp-trafiken då för att
få limits på dem istället.

State blir ju inte riktigt samma sak när det är udp, PF kommer ju inte
se skillnad på om nån försöker starta 100 openvpn från samma klientmaskin
till din server eller om det är en openvpn-klient med 100x normal
trafik. För tcp hade det varit enkelt att se att det var 100 skilda
uppkopplingar varpå man kunde pessimisera för en så person.

-- 
-"Legalize Stimpacks!"