max-src-conn-rate och max-src-conn för udp

Leif Larsson leif.larsson at l3system.se
Tue May 14 14:44:11 CEST 2013


Ja, var lite rädd för det...
Verkar inte finnas så mycket proxysar för sånt heller.
Hade hoppats på lite "pf magic" men det får bli lite altq-köer istället.

Hälsningar,

/Leif

On 05/09/2013 09:24 AM, Janne Johansson wrote:
> On Wed, May 08, 2013 at 15:18+0200, Leif Larsson (leif.larsson at l3system.se) wrote:
>> Goddag listan!
>>
>> Skulle behöva limitera udp trafik (DNS) till ett par servrar med något
>> liknande max-src-conn-rate och max-src-conn i pf.
>>
>> Det finns en "keep state" för udp i pf som jag hoppades på men tyvärr
>> fungerar det bara med tcp....
>>
>> Ni känner säkert igen detta exempel, jag skulle vilja göra detsamma fast
>> med udp...
>>
>>
>> table <bruteforce> persist
>> block quick from <bruteforce>
>> pass inet proto tcp from any to any port 22 \
>>          flags S/SA keep state \
>> 	(max-src-conn 100, max-src-conn-rate 15/5, \
>>           overload <bruteforce> flush global)ist
>
> Nästan så att man får nöja med mig att altq:a udp-trafiken då för att
> få limits på dem istället.
>
> State blir ju inte riktigt samma sak när det är udp, PF kommer ju inte
> se skillnad på om nån försöker starta 100 openvpn från samma klientmaskin
> till din server eller om det är en openvpn-klient med 100x normal
> trafik. För tcp hade det varit enkelt att se att det var 100 skilda
> uppkopplingar varpå man kunde pessimisera för en så person.
>


More information about the BUS mailing list