SYN flood

    Hallo,


    ich bin z.Zt am Lernen wie ich am besten iptables einrichte.
    Ich habe hier im Forum u.a. die iptables Regeln von RayMD gefunden und basierend auf diesem Skript in meinen Regeln:

    Code
    # syn flood limitation
$IPTABLES -A INPUT -p tcp --syn -m limit --limit 5/s --limit-burst 10 -j LOG --log-prefix "SYN flood: "
$IPTABLES -A INPUT -p tcp --syn -j DROP


    jetzt habe ich in der /var/log/messages ganz viele Meldungen dieser Form (jeweils mit anderen IP´s bei SRC):

    Code
    .…. SYN flood: IN=eth0 OUT= MAC=<<eigene MAC dieses Servers>> SRC=212.124.24.254 DST=<<eigene IP des Servers>> LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=49641 DF PROTO=TCP SPT=3908 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0


    Was bedeutet das? Muss ich mir Sorgen machen, bzw. was dagegen tun?
    Ich bin grad am Lernen von IPTABLES und will die Regeln verstehen, deshalb ist das ganze noch ein "Testserver".
    Ich denke, es ist auch nicht gut, einfach ein Skript aus dem Internet auf einem Produkktionsserver einzusetzen, ohne genau zu verstehen was da passsiert ;)


    Ich hoffe, mir kann jemand weiterhelfen.


    Grüße
    echi




    Detect language » German

    Dass an deinem Server dauerhaft ein Grundrauschen ankommt, ist nicht weiter tragisch, das passiert einfach. Mehr als du bisher tust kannst du m.E. auch nicht tun, denn jeder der deine IP kennt kann dir natürlich auch Pakete schicken. Du kannst sie frühestens an der Firewall abfangen.


    Evtl. musst du natürlich die Log-Rate weiter runter setzen, damit dir deine Platte nicht mit den Logs vollläuft. Ansonsten sollte das aber passen.