[vine-users:080299] Re: iptablesのルール

[T.Kabu]

おはようございます、蕪木です。

> 知り合いとかが作った音楽や画像を配布するサイトを運営してます。
> 分割ツールを使った迷惑行為をする人間が多いのでどうにかできないかなと思ってます。
> iptablesのルール設定を書いているところで下記を見つけました。

iptablesこんなことも出来るんですね、メモメモ。(^-^;

> # 1秒間に4回を超えるpingはログを記録して破棄
> # ※Ping of Death攻撃対策
> iptables -N LOG_PINGDEATH
> iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
> iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
> iptables -A LOG_PINGDEATH -j DROP
> iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
> 
> これを80番に同じIPから1秒間に5回以上のアクセスがあれば破棄にできるのでしょうか？
> 参考サイトなどあればお教えください。  		 	   		  

これですが、

> iptables -N LOG_PINGDEATH
> iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
> iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
> iptables -A LOG_PINGDEATH -j DROP

の部分が「LOG_PINGDEATH」というフィルターの定義です。

で、

> iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH

の部分が、プロトコルがicmpで、icmpのタイプがecho-request(つまりping)
なら、LOG_PINGDEATHっていう名前のフィルター定義にジャンプしなさい、
という意味です。

ですので、HTTPをフィルター対象にしたいなら、プロトコルはtcpで、宛先
ポートが80のパケットについてジャンプさせれば、ジャンプ先の定義では
これといってパケットの種類を判定しているわけではないので、いけるん
じゃないでしょうか？(-p tcp --dport 80 -j LOG_PINGDEATH　みたいな)

ぜひ試してみてレポートしてください。