"1. részben megjelölt szabály hatására tényleg minden csomag bejut (ezért is maradtak el a várt SSH-s logjaim...), tökmind1, h szerepel-e utána a DROP"
Igen, mert a DROP csak azt dobja el ami nem felelt meg az időlimit meghatározásnak. Ami megfelelt az be is jutott, legyen bármi.
Tedd külön láncba.
pl.:
# vedekezesek tamadasok ellen
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "INVALID_SYN "
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# Syn-flood vedelem:
iptables -A INPUT -p tcp --syn -m state --state NEW -j syn_flood
iptables -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst=4 -j RETURN
iptables -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst=4 -j LOG --log-prefix "SYN_DROP "
iptables -A syn_flood -p tcp --syn -j DROP
Tehát ami megfelel az idő limitre az visszatér az eredeti láncba (INPUT) és halad tovább míg nem matchel valamire(pl ssh)
-
budacsik