Iptables establish connection

Mitglied: decehakan

decehakan (Level 1) - Jetzt verbinden

2021/02/22 um 17:45 Uhr, 251 Aufrufe, 3 Kommentare

Hallo Leute,

vertiefe meine Kenntnisse im Bereich Linux iptables und hätte im Bezug auf hergestellte Verbindung (establish) paar Verständnis fragen.

Ist jede eigehende Anfrage (Request) zum Server immer eine hergestellte Verbindung, bzw. ab wann ist eine Verbindung hergestellt ?

Bis zu wieviel hergestellte Verbindung kann ein Client zum Host haben, maximal Eins ?


Es geht hierbei um zwei folgende Regel.

Die erste Regel:

Bei dieser Regel Limitiere ich am Host, dass die Anzahl der hergestellten Verbindungen (establish) auf maximal 80 setze. Das heißt doch jetzt es können nur insgesamt 80 Klienten sich am Server verbinden. Ein Client kann nur eine hergestelle Verbindung (establish) haben, also der Client kann nicht mehr als eine Verbindung herstellen ?

die zweite Regel:

Bei dieser Regel limitiere ich dass per Source IP (Client) nicht mehr als 60 Verbindung pro Sekunde benutzen darf. Das wiederum bestätigt dass der Client per als eine hergestellte Verbindung besitzen darf.

Vielen Dank

hakan
Mitglied: SchmitzKatz
LÖSUNG 2021/02/22, aktualisiert um 18:14 Uhr
Moin.
Zitat von @decehakan:
Ist jede eigehende Anfrage (Request) zum Server immer eine hergestellte Verbindung, bzw. ab wann ist eine Verbindung hergestellt ?
Lesestoff zu TCP Verbindungen, dann erklärt sich das eigentlich von selbst
https://www.elektronik-kompendium.de/sites/net/2009211.htm

08122713 - Klicke auf das Bild, um es zu vergrößern
Bild-Quelle: https://www.elektronik-kompendium.de/sites/net/2009211.htm

Dann lese man auch https://linux.die.net/man/8/iptables
Beachte das Wörtchen in "beide" Richtungen.
Bis zu wieviel hergestellte Verbindung kann ein Client zum Host haben, maximal Eins ?
Soviel der Client noch freie abgehende Ports hat. Ein State definiert immer Quell- und Ziel-IP und Quell- und Zielport. Ändert sich eins davon ist das eine andere Verbindung. Schau dir einfach mal die States Table an (netstat) bzw. beobachte sie etwas dann erkennst du was ich meine. Ein State hat immer auch einen bestimmten Timeout bis der State automatisch wieder gelöscht wird sollten keine Daten innerhalb eines bestimmten Zeitraums fließen oder einer der Clients die Verbindung reguläre beendet.

Bei dieser Regel Limitiere ich am Host, dass die Anzahl der hergestellten Verbindungen (establish) auf maximal 80 setze. Das heißt doch jetzt es können nur insgesamt 80 Klienten sich am Server verbinden. Ein Client kann nur eine hergestelle Verbindung (establish) haben, also der Client kann nicht mehr als eine Verbindung herstellen ?
Doch kann er. Wenn dieser eine weitere Verbindung öffnet mit anderem Quellport(Source-Port) ist das für den Server eine neue Verbindung.

Gruß SK
Bitte warten ..
Mitglied: decehakan
2021/02/22 um 18:30 Uhr
Danke, also wenn ich über ssh das login Menü zum Server sehe beispielsweise über putty, dann habe ich bereits eine hergestellte Verbindung, oder habe ich die Verbindung erst hergestellt nach dem ich mich eingeloggt habe ?
Bitte warten ..
Mitglied: SchmitzKatz
LÖSUNG 2021/02/22, aktualisiert um 18:42 Uhr
Zitat von @decehakan:

Danke, also wenn ich über ssh das login Menü zum Server sehe beispielsweise über putty, dann habe ich bereits eine hergestellte Verbindung
Ja, der Server kommuniziert ja bereits mit dir.

, oder habe ich die Verbindung erst hergestellt nach dem ich mich eingeloggt habe ?
Nein das wäre ein Login-Status auf Anwendungsebene, die TCP-Verbindung auf Layer3 steht aber bereits und nur die ist für iptables relevant, was hinterher in der Anwendung übertragen wird ist iptables wurscht das findet auf einem anderen höheren Layer statt.

Stichwort Grundlagen (OSI Modell)
https://de.wikipedia.org/wiki/OSI-Modell

Das was du offensichtlich suchst machst du unter Linux stattdessen einfach mit fail2ban.
Das überwacht deine Logfiles und sperrt/entsperrt anhand von Regex-Regeln IP-Adressen automatisch wenn von dir definierte Schwellwerte überschritten werden.
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Windows 7 pro Lizenz nutzen für Windows 10
lukas02091 day agoQuestionWindows 1016 Comments

Hallo Community, ich versuche seit einigen Wochen unser Netzwerk von Windows Server 2008 R2 Standard auf Windows Server 2016 Essentials um, welches eine städtische ...

Microsoft
Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys
kgborn1 day agoTickerMicrosoft5 Comments

Nur zu Info für die Käufer der eBay-Schnäppchen - neuer Fall Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys

Windows Network
Telefone im Netzwerk bekannt machen
jannik02051 day agoQuestionWindows Network13 Comments

Hallo Zusammen, In unserem Unternehmen gibt es eine Telefonanlage mit eigenem Telefonienetz (192.168.5.X). Schließe ich ein Telefon an eine Netzwerkdose, bekommt es vom DHCP- ...

Microsoft
Microsoft Teams - "bitte wenden Sie sich an (. . .) um Teams für "domäne" zu aktivieren" nur bei einem Benutzer
eastfrisian1 day agoQuestionMicrosoft6 Comments

Hallo zusammen! Wir haben bei uns Teams als Hybridversion eingeführt (Exchange on premise, AD-Sync in die Cloud) und nutzen Teams über das basic-Abonnement. Während ...

Networks
Keine Versand von Mails von der Firmen zur Privaten E-Mailadresse möglich
blaub33r31 day agoQuestionNetworks6 Comments

Hallo zusammen, wieso kommt der User keine Mails mehr? Der Sender wird als Spamer betrachtet? 1. Mailing an andere Privaten Adressen / Firmen Adressen ...

Networks
Netzwerklaufwerk - Nur Lesen (Streamen)
CryexX1 day agoQuestionNetworks8 Comments

Hallo, ich hab mal ne Frage und hoffe auf Lösung. Mir schießt aktuell keine in den Kopf :( Ich möchte ein Netzlaufwerk freigeben. Auf ...

Routers & Routing
Vodafone Kabel: Eigenen Router an den Kabelanschluss oder einen WLAN-Router ohne Modem hinter die Vodafone Station?
DyingWords1 day agoQuestionRouters & Routing6 Comments

Hallo zusammen, da wir demnächst in eine Wohnung mit Kabelanschluss von Vodafone einziehen werden, frage ich mich, ob es sinnvoller ist einen eigenen Router ...

Linux
Knoppix 9.1 verfügbar
sabines1 day agoTickerLinux6 Comments

Klaus Knopper hat eine neue Version zum Download bereitgestellt. Achtung in der Übersicht ist noch die Version 8.6.1 aus 2019 genannt, im Downloadverzeichnis ist ...