Aham, Você tem umas regrinhas de iptables para fazer esse bloqueio. iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Veja melhor abaixo.. Raphael Costa Proteção contra Syn-flood: # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT Port scanner suspeito: # iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT Ping da morte: # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT Esse módulo funciona como uma "porta com resposta retardada", conforme o gráfico abaixo. taxa (pkt/s) ^ .---. | / DoS \ | / \ Auge do DoS -|.....:.........\....................... = (média * | /: \ média-máxim) | / : \ .-. | / : \ / \ | / : \ / \ Fim do DoS -|/....:..............:.../.......\..../. = média | : :`-' `--' -------------+-----+--------------+------------------> time (s) LOGICA => Passa | Não passa | Passa Digamos que aprovamos um pacote por segundo com um limite máximo de cinco pacotes, mas os pacotes começam a vir quatro por segundo, durante três segundos, e recomeçam depois de mais 3 segundos. <--Flood 1--> <---Flood 2---> Total ^ Line __-- YNNN de | Rate __-- YNNN Pacotes| mum __-- YNNN 10 | Maxi __-- Y | __-- Y | __-- Y | __-- YNNN |- YNNN 5 | Y | Y Legenda: Y -> Regra válida | Y N -> Regra deixou de valer | Y |Y 0 +--------------------------------------------------> Time (seconds) 0 1 2 3 4 5 6 7 8 9 10 11 12 Nota de Tradução: Desculpem-me, mas eu não consegui traduzir esse gráfico sem deformá-lo completamente, então algumas coisas ficaram em inglês :) Percebe-se que os cinco primeiros pacotes podem exceder um pacote por segudo, depois o limite máximo passa a ser válido. Se há uma nova tentativa de flood, os pacotes são aceitos, mas apenas no limite estabelecido pela regra (1 pacote por segundo pois a cota do limite máximo já foi gasta). -----Mensagem original----- De: Eduardo Augusto Pinto [mailto:[EMAIL PROTECTED] Enviada em: quinta-feira, 25 de março de 2004 21:49 Para: Lista Assunto: Porta 25 Pessoal .. gostaria de tirar uma duvida com vcs ... Bom tenho um servidor de e-mails Postfix , rodando perfeitamente nunca apresentou problema ... tenho um firewall tb .. nunca apresentou nenhum problema .. Ai vai a pergunta .. Teria como eu esconder a Porta 25 qdo alguem scannear ela esta fechada , mas qdo alguem me mandar um e-mail ela responder normalmente .. teria como fazer isso ??? Desde ja agradeco , ----------------------------------------------------------- Eduardo Augusto Pinto Linux User: #335173 Debian GNU/Linux [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]