Использую данные команды для защите от доса:
iptables -A INPUT -p udp --dport 27015:27050 -m hashlimit --hashlimit-upto 101/s --hashlimit-mode srcip --hashlimit-name css -j ACCEPT
iptables -A INPUT -p udp --dport 27015:27050 -j DROP
iptables -A INPUT -p udp --dport 27015:27050 -m length --length :28 -j DROP
iptables -A INPUT -p tcp --syn --dport 27015:27050 -m connlimit --connlimit-above 10 -j DROP
Хотелось чтобы iptables писал логи...
Как нужно переделать эти команды чтобы писались логи на ip которые не прошли фильтр?
Помогите настроит iptables чтобы писало логи
- net-master
- Капитан
- Сообщения: 446
- Зарегистрирован: 07.11.2009
- Поблагодарили: 1 раз
Тебе лучше отписаться на www.lissyara.su там в этом плане народ более опытный, и вот полезный скриптик для защиты от досс http://deflate.medialayer.com/rsg16 писал(а):Использую данные команды для защите от доса:
iptables -A INPUT -p udp --dport 27015:27050 -m hashlimit --hashlimit-upto 101/s --hashlimit-mode srcip --hashlimit-name css -j ACCEPT
iptables -A INPUT -p udp --dport 27015:27050 -j DROP
iptables -A INPUT -p udp --dport 27015:27050 -m length --length :28 -j DROP
iptables -A INPUT -p tcp --syn --dport 27015:27050 -m connlimit --connlimit-above 10 -j DROP
Хотелось чтобы iptables писал логи...
Как нужно переделать эти команды чтобы писались логи на ip которые не прошли фильтр?
-
- Лейтенант
- Сообщения: 127
- Зарегистрирован: 19.07.2011
- Поблагодарили: 1 раз
Просто добавь iptables -A INPUT -j LOG --log-prefix "DOS Attack!" --log-level 6
в любое, нужное тебе место и получай логи. Слишком близко к началу цепочки не ставь, логи будут весить много байт - читать их не сможешь.
Рекомендую ознакомиться с этим: http://www.e-reading.org.ua/chapter.php ... .1.19.html
в любое, нужное тебе место и получай логи. Слишком близко к началу цепочки не ставь, логи будут весить много байт - читать их не сможешь.
Рекомендую ознакомиться с этим: http://www.e-reading.org.ua/chapter.php ... .1.19.html