Debian : Limitation d'accés au ftp avec netfilter ou xinetd

Debian : Limitation d'accés au ftp avec netfilter ou xinetd - Installation - Linux et OS Alternatifs

Marsh Posté le 25-04-2007 à 20:41:24    

Bien le bonjour,
 
Voici une grande interrogation dans un projet de serveur ftp proftpd sur une Debian 4.0.
 
Je souhaite limiter à pas plus de 5 connexions à la minutes au serveur ftp. de quel manière peut on implémenter ce système:
- xinetd, si oui de quelle maniére
- netfilter, c'est sur qu'on puisse le faire mais comment??
 
quels sont les avantages de l'implémentation de l'une ou de l'autre de ces solutions.
 
Merci d'avance, à bientôt!

Reply

Marsh Posté le 25-04-2007 à 20:41:24   

Reply

Marsh Posté le 26-04-2007 à 02:13:10    

man xinetd.conf
man iptables module limit

Reply

Marsh Posté le 27-04-2007 à 16:51:10    

ouai ok


Message édité par syl56 le 27-04-2007 à 19:21:06
Reply

Marsh Posté le 27-04-2007 à 17:51:06    

iptables –A INPUT –p tcp –m limit –limit 5/minute –j ACCEPT –dport 21  
 
ca vous parait correct??

Reply

Marsh Posté le 27-04-2007 à 18:19:57    

avec xinetd je n'ai trouvé qu'une limitation d'instances simultané:
 
instances=5  
dans le fichier proftpd du répertoire xinetd.d
 
y'a t'il un moyen de le configurer par minute.


Message édité par syl56 le 27-04-2007 à 18:20:45
Reply

Marsh Posté le 27-04-2007 à 19:55:37    

j aimerai faire quelques chose comme ce qui suit mais pour ftp :
 
 
http://home.tele2.it/pavieb/ssh_configurations.html
dans la section renforcer la protection de votre serveur ssh


Message édité par syl56 le 27-04-2007 à 20:15:53
Reply

Marsh Posté le 28-04-2007 à 11:26:18    

svp!!!

Reply

Marsh Posté le 28-04-2007 à 11:35:50    

bah man iptables section recent

Reply

Marsh Posté le 28-04-2007 à 11:36:54    

syl56 a écrit :

iptables –A INPUT –p tcp –m limit –limit 5/minute –j ACCEPT –dport 21  
 
ca vous parait correct??


ça dépend des règles qui précèdent. Si t'as un accept related/established avant, oui. sinon il faut rajouter une mention pour que le flag tcp soit syn

Reply

Marsh Posté le 28-04-2007 à 15:20:16    

iptables –A INPUT –p tcp -–dport 21 --state NEW ! --syn -j ACCEPT –m limit –-limit 5/minute ???
 
je pige pas grand chose à la partie "--state NEW ! --syn

Reply

Marsh Posté le 28-04-2007 à 15:20:16   

Reply

Marsh Posté le 29-04-2007 à 11:39:46    

svp

Reply

Marsh Posté le 01-05-2007 à 01:17:44    

répond aux questions concernant la précédente règle...

Reply

Marsh Posté le 02-05-2007 à 01:03:43    

Dans l'hypothèse ou c'est du TCP et que tu as ensuite les autres règles qui vont bien pour du ESTABLISHED/RELATED, alors en -I INPUT :
 
iptables -t filter -I INPUT -i <IF> -p tcp -m tcp --dport 21 --syn -m limit --limit 5/m
 
devrait faire l'affaire

Reply

Marsh Posté le 02-05-2007 à 01:07:31    

voire avec un burst à 1

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed