Forum général.test Iptales --limit-burst problemes

• # logique

  Posté par NeoX le 11 avril 2010 à 15:13. Évalué à 2.

  

  il ne limite pas par tranche de 6 mais à partir de 6
  
  en gros tu envoies 50 paquets, il laisse passer les 6 premiers, qui sont trop rapides, coupe (à cause de la limite) et tant que c'est trop rapide il reste coupé
  
  ce qui semble etre confirmé par le man
  --limit-burst number
Maximum initial number of packets to match: this number gets
recharged by one every time the limit specified above is not
reached, up to this number; the default is 5.

  
  ca compte +1 à chaque passage jusqu'a la limite

  • [^] # Re: logique

    Posté par houssem eddinn Kaabachi le 11 avril 2010 à 16:40. Évalué à 1.

    

    Merci de votre réponse,
    
    Mais oui je sais bien ce que vous venez de dire, moi réellement je veux stopper 6 UDP c à d les 6 premiers paquets dés que la règle est affecté dans le pare-feu.
    
    Le problème c'est que n'est pas toujours je trouve 6 paquets droppé exactement mais avec + 1 ou 2 paquets UDP qui sont droppés.
    
    le problème c'est cette inexactitude de la valeur....!!

    • [^] # Re: logique

      Posté par NeoX le 12 avril 2010 à 00:20. Évalué à 2.

      

      peut-etre simplement parceque ta limitation n'est pas precise
      
      toujours dans le man
      limit
This module matches at a limited rate using a token bucket filter. A rule using this extension will match until this limit is reached (unless the `!' flag is used). It can be used in combination with the LOG target to give limited logging, for example.

[!] --limit rate[/second|/minute|/hour|/day]
Maximum average matching rate: specified as a number, with an optional `/second', `/minute', `/hour', or `/day' suffix; the default is 3/hour.

--limit-burst number
Maximum initial number of packets to match: this number gets recharged by one every time the limit specified above is not reached, up to this number; the default is 5.

      
      le limit burst est en relation avec le limit precedent (above)
      
      mais ne precise pas la durée pendant laquelle il considere que c'est un "burst"
      
      ex : --limit 5/second
      voudrait dire que tu toleres 5 passages correspondants dans un delai de la seconde
      mais si ton emetteur n'en envoie que 4, tu n'appliquera pas la regle.
      
      inversement, si l'emetteur envoie 10 requetes secondes, les 5 premieres vont passer mais pas les suivantes

      • [^] # Re: logique

        Posté par Frédéric Perrin (site web personnel) le 12 avril 2010 à 13:31. Évalué à 2.

        

        NeoX: OP veut faire le contraire de ce que fait limit-burst : il ne veut pas laisser passer n paquets et bloquer les suivants, il veut bloquer les n premiers paquets et laisser passer les suivants. Alors après, je n'ai pas compris pourquoi houssem est parti dans la direction de limit-burst...
        
        Est-ce qu'il ne faudrait pas plutôt développer un petit module iptables perso ?

        • [^] # Re: logique

          Posté par houssem eddinn Kaabachi le 12 avril 2010 à 18:20. Évalué à 0.

          

          j'utilise la limit-burst parce que je n'ai pas d'autres solutions afin de bolquer qulqeus paquets udp....
          
          Si vous avez une idée vazi ;)))))

          • [^] # Re: logique

            Posté par NeoX le 12 avril 2010 à 19:44. Évalué à 2.

            

            y a pas un parametre count ou counter ?
            
            qui permettrait de compter les paquets et de bloquer si count<6 ?
            
            man iptables
            -c, --set-counters packets bytes
This enables the administrator to initialize the packet and byte counters of a rule (during INSERT, APPEND, REPLACE operations).

[...]
-x, --exact
Expand numbers. Display the exact value of the packet and byte counters, instead of only the rounded number in K's (multiples of 1000) M's (multiples of 1000K) or G's (multiples of 1000M).
This option is only relevant for the -L command.

            
            si a cela tu rajoutes un JUMP
            tu dois pouvoir faire des conditionnels
            
            
            sinon c'est quoi en fait l'interet de DROP les 6 premiers paquets, mais pas les suivants ?
            en general on fait l'inverse, et c'est pour ca que c'est pas simple à trouver.
            - on log les 2 ou 3 premiers essais, et on laisse tomber les suivants si la personne s'acharne
            - on drop si le rythme de connexion est superieur à N / secondes...
            
            peut-etre qu'avec un exemple on arrivera à t'aider ;)

            • [^] # Re: logique

              Posté par houssem eddinn Kaabachi le 12 avril 2010 à 20:24. Évalué à 0.

              

              En fait, moi je développe une application qui perturbe le réseau, en sniffant le réseau actuelle je trouve qu'il y a plein de trames udp OK!!
              
              Pour cela pour perturber le réseau je réalise cela par la commande iptables.
              
              mais parmi les exigences, c'est d'importer un scripte qui contient une matrice binaire comme celle-ci
              
              0 1 1
              1 0 0
              1 1 1
              
              avec : 1 correspond à iptables ......limit-burst 1 - j DROP
              
              et : 0 correspond à iptables ...... limit-burst 1 - j ACCEPT
              
              dans l'exemple que je viens de donner il faut dropper 6 paquets UDP
              
              mais avec Wireshark je trouve parfois 7, 8 et même 9 paquets droppé
              et rarement 6 paquets :(((((
              
              voilaaaaa le prob

              • [^] # Re: logique

                Posté par NeoX le 13 avril 2010 à 00:30. Évalué à 2.

                

                si pour toi perturbé le reseau c'est jouer de iptables, ce n'est pas vraiment du developpement.
                
                le developpement voudrait que tu fasse un "proxy" perturbant.
                
                un truc qui ecoute, modifie, reemet
                ainsi tu controles tout de A à Z
                
                hors là tu n'utilises deja pas les bonnes fonctions iptables puisque tu lui demande de limiter les "burst"
                
                en francais, tu lui demandes de dropper quand il y a des "rafales" sur UDP
                
                dans ton cas il faudrait faire l'inverse
                
                laisser passer tant que le compteur n'atteint pas 6
                dropper ensuite
                
                par exemple en limitant à 6 requetes par secondes
                iptables -A FORWARD -p udp -m limit 6/s -j ACCEPT
                iptables -A FORWARD -p udp -j DROP

                • [^] # Re: logique

                  Posté par houssem eddinn Kaabachi le 13 avril 2010 à 12:33. Évalué à 0.

                  

                  Mais moi je veux totalement l'inverse, je veux laisser passer le trafic réseau et à un certain moment je bloques quelques paquets UDP....!!
                  
                  Ce que vous venez de dire c'est de bloquer totalement le réseau.
                  
                  et à propos la limit-burst c'est tout à fait ce que je veux c'est de bloquer le trafic UDP en rafale. :)))
                  
                  Donc c 'est la seule solution que j'ai trouvé

                  • [^] # Re: logique

                    Posté par NeoX le 13 avril 2010 à 13:08. Évalué à 2.

                    

                    le limit et limitburst c'est pour compter les paquets qui passent
                    et limiter si ce comptage depasse un certain rythme
                    
                    par exemple pour limiter un Deny Of Service, tu va dropper si l'emetteur envoie plus de X requetes par secondes/minutes...
                    
                    toi tu veux interrompre le reseau X sec puis le remettre.
                    ce qui n'est pas vraiment pareil.
                    
                    sinon c'est quoi une "PFE"
                    car dans le sujet initial, tu nous dis que tu as besoin d'aide pour ton sujet de "PFE"...

                  • [^] # Re: logique

                    Posté par NeoX le 13 avril 2010 à 14:41. Évalué à 2.

                    

                    avec le man en Francais on comprend mieux ce que fait limit et limitburst
                    http://www.delafond.org/traducmanfr/man/man8/iptables.8.html

                • [^] # Re: logique

                  Posté par houssem eddinn Kaabachi le 13 avril 2010 à 12:47. Évalué à 0.

                  

                  Mais moi je veux totalement l'inverse, je veux laisser passer le trafic réseau et à un certain moment je bloques quelques paquets UDP....!!
                  
                  Ce que vous venez de dire c'est de bloquer totalement le réseau.
                  
                  et à propos la limit-burst c'est tout à fait ce que je veux c'est de bloquer le trafic UDP en rafale. :)))
                  
                  Donc c 'est la seule solution que j'ai trouvé

  • [^] # Re: logique

    Posté par houssem eddinn Kaabachi le 11 avril 2010 à 17:23. Évalué à -1.

    

    Merci de votre réponse,
    
    Mais oui je sais bien ce que vous venez de dire, moi réellement je veux stopper 6 UDP c à d les 6 premiers paquets dés que la règle est affecté dans le pare-feu.
    
    Le problème c'est que n'est pas toujours je trouve 6 paquets droppé exactement mais avec + 1 ou 2 paquets UDP qui sont droppés.
    
    le problème c'est cette inexactitude de la valeur....!!

• # un outil pour sniffer, enregistrer, modifer puis rejouer ...

  Posté par NeoX le 16 avril 2010 à 15:32. Évalué à 2.

  

  http://linuxfr.org/2010/04/16/26740.html
  
  avec ces outils tu vas pouvoir capturer le trafic normal
  le modifier (pour simuler des pertes ou modifs de paquet)
  et rejouer le trafic

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.