En effet la fonctionnalité premiere du module conntrack est de gérer l'état des connexions (ce qui rend Netfilter stateful). Il enregistre les connexions dans les tables avec un timeout et met à jour les sessions. Ces tables sont consultées dans la base de règles pour autoriser ou non le trafic en fonction de son état.
http://people.netfilter.org/pablo/docs/login.pdf Des modules qui pourraient aider à contrer un DoS (qui ne sature pas forcément le lien upstream vers ISP), sont *ipset, recent*, *iplimit*, *condition, geoip*... Combinés ou non, ils peuvent donner de bons résultats. Encore une fois tout dépendra du type de DoS ... Contrer un DoS applicatif (slowloris par exemple) nécessitera d'autres approches au niveau 7. Le problème primaire sera de pouvoir "profiler" les utilisateurs légitimes et de les distinguer des utilisateurs DoS. Tache pas toujours facile surtout que lorsqu'on fait fasse à un DoS, le temps de réaction est très limité. Par ailleurs en disposant d'outil d'analyse adapté, on peut arriver à trouver un discriminant. Les paquets issus de l'attaque auront potentiellement des points communs (paramètres TCP/IP, as hop count, as path, ...) L'idée derriere, c'est de créer une sorte de Whitelist temporaire au moment où on est confronté au DoS. Le module geoip permet par exemple de n'autoriser que certains pays à se connecter au serveur en cas d'attaque. Une proposition serait d'utiliser plusieurs chaines de traitement des paquets (Netfilter est bien adapté pour ça) et d'activer les actions de défense lorsque une condition de DoS a été déclenchée (module condition). Le module recent quant à lui permet de limiter le nombre de paquet par seconde. Le nombre de règles aura un impact sur la performance du firewall. Cela dépendra des paramètres de la machine (RAM, CPU, I/O ...). Le parcours d'un firewall classique étant linéaire (Pour Netfliter : du moins au sein d'une chaine), l'ordre des règles reste important. On aura intérêt à placer les règles qui ont un hitcount élevé au tout début de la base de règles. Mohamed Touré 2012/9/8 Thomas Mangin <thomas.man...@exa-networks.co.uk> > Ce qu il faut surtout avec conntrack c est augmenter l allocation de > memoire par defaut pour le module > > Sent from my iPad > > On 8 Sep 2012, at 18:02, Frederic Dhieux <frede...@syn.fr> wrote: > > > Le 08/09/2012 18:50, Radu-Adrian Feurdean a écrit : > >> > >> Meme pas besoin d'une regle. Charger le module conntrack est > >> generalement assez. > >> Sans conntrack, quelques centaines de regles posent pas beaucoup de > >> problemes. Pour plus, faut essayer de hierarchiser un peu. > > le module conntrack pose plutôt problème par rapport au trafic > indépendamment des règles, les règles sur certains aspects peuvent charger > le serveur, même sans conntrack, si on cumule trop de règles longues à > traiter dans le cycle de netfilter. > > > > Enfin dans mes souvenirs c'est plutôt ça. > > > > Fred > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Mohamed Touré 06 38 62 99 07 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
