И снова iptables

[LasT_T]

Нашол на одном форуме правило, которые якобы защищает флуд по портам.

Код: Выделить всё

iptables -A INPUT -p udp -m conntrack --ctstate NEW -m length --length 51:53 -m hashlimit --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT

iptables -A INPUT -p udp -m conntrack --ctstate ESTABLISHED -m length --length 33:1390 -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ESTABL -j ACCEPT

iptables -A INPUT -p udp -j DROP

Тут вопрос, как сделать что бы был доступ для сетти ну и как-то упростить что-ли.

[Non_Stop]

а причём тут сетти?
тут что его блокирует или что?По-моему нет.
Да и порты странные,если это для сервера.

[LasT_T]

а причём тут сетти?
тут что его блокирует или что?По-моему нет.
Да и порты странные,если это для сервера.

Блокирует сетти, попробуй правила себе добавить и кинуть сервер в сетти и увидиш...
Есть идеи получше?)

[Dev]

От легкого флуда можно спастись этой ерундой (где $IPT - путь к iptables):

$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -N SYN_FLOOD
$IPT -A INPUT -p tcp --syn -j SYN_FLOOD
$IPT -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPT -A SYN_FLOOD -j DROP

Для более сложных атак - ищи информацию по связке iptables + ipset

P.S. хватит сидеть на csnetua и брать оттуда весь бред :)