[fli4l] Verbindungs-Flut begrenzen
Matthias Taube
no_html.max50kb at nurfuerspam.de
So Okt 27 09:29:08 CET 2013
Hi,
im Logfile meines Mailer (exim) tauchen folgende Einträge auf:
> 2013-10-27 02:42:06 Connection from [62.219.228.9] refused: too many connections
> 2013-10-27 02:42:07 Connection from [62.219.228.9] refused: too many connections
> 2013-10-27 02:42:10 Connection from [62.219.228.9] refused: too many connections
> 2013-10-27 02:42:10 Connection from [62.219.228.9] refused: too many connections
> 2013-10-27 02:42:10 Connection from [62.219.228.9] refused: too many connections
> 2013-10-27 02:42:11 Connection from [62.219.228.9] refused: too many connections
> 2013-10-27 02:47:10 SMTP command timeout on connection from bzq-219-228-9.pop.bezeqint.net (SERVER) [62.219.228.9]
> 2013-10-27 02:47:10 SMTP command timeout on connection from bzq-219-228-9.pop.bezeqint.net (SERVER) [62.219.228.9]
> 2013-10-27 02:47:10 SMTP command timeout on connection from bzq-219-228-9.pop.bezeqint.net (SERVER) [62.219.228.9]
> 2013-10-27 02:47:11 SMTP command timeout on connection from bzq-219-228-9.pop.bezeqint.net (SERVER) [62.219.228.9]
> 2013-10-27 02:47:11 SMTP command timeout on connection from bzq-219-228-9.pop.bezeqint.net (SERVER) [62.219.228.9]
Leider reagiert der Mailer während dieser Angriffe kaum noch auf andere
eingehende Verbindungen. Fail2Ban stoppt zwar diese Angriffe, ist
allerdings wegen der langsamen Reaktionzeit immer zu spät dran.
Zur Verhinderung von Syn-Flood Attacken wird im Inet folgender iptables
Eintrag empfohlen:
> /sbin/iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
Würde das auch gegen oben genannte Attacken helfen?
Kann man das auch auf dem den Server vorgelagerten Fli4L laufen lassen
(in der Forward-Chain)?
mfg
Matthias
Mehr Informationen über die Mailingliste Fli4L