Hi Sorry für die PM Thomas. Man sollte nicht vor dem erstem Kaffee mailen :-) On Thursday 06 January 2005 12:48, Thomas Gräber wrote:
Am Donnerstag, 6. Januar 2005 12:35 schrieb Ruediger Meier:
Hallo, (sry fuer erste mail)
ich habe fuer den ssh port auf dem Server folgende Zeile in meinem iptables script:
iptables -A INPUT -i eth0 -p tcp --dport 22 -m limit --limit 5/minute -j ACCEPT
Ich kann mich ueber ssh einloggen und alles scheint wie gewuenscht zu funktionieren. Aber während jemand mit scp (genauer puttySCP -r) irgendwas auf den Server kopiert, kann ich nicht mehr mit ssh einloggen(timeout). Es klappt erst wenn ich das limit auf 500/minute setze. Oeffnet scp staendig neue connections?
Dann hast du den Parameter limit von iptables wohl falsch verstanden. Sieh nochmal in die Manpage. Der begrenzt nämlich die Anzahl der Pakete, nicht die Anzahl der Verbindungen.
Macht das limit ueberhaupt Sinn fuer ssh? ich haette sowieso lieber nur ein limit fuer neue_connections/minute wenn sie von derselben IP kommen - geht das?
Jein. Dazu gibt es die match-extension --state. Das gilt für neue Verbinungen überhaupt. Sowas wie (ohne Gewähr weil ungetestet): iptables -A INPUT -i eth0 -p tcp --dport 22 -m limit --limit 5/minute -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT Die erste regel läßt nur 5 SYN-Pakete und damit nur 5 neue tcp-Verbindungen pro Minute zu. Der laufende Verkehr einer Bestehenden tcp-Verbindung wird von der ersten Regel nicht gematcht und von der zweiten durchgelassen. mfg Axel