← Back to branch summary

~ubuntu-branches/ubuntu/precise/iptables/precise-proposed

« back to all changes in this revision

Viewing changes to .pc/0001-libxt_recent-Add-support-for-reap-option.patch/extensions/libxt_recent.man

  • Committer: Package Import Robot
  • Author(s): Tim Gardner
  • Date: 2011-12-09 14:02:08 UTC
  • Revision ID: package-import@ubuntu.com-20111209140208-wxwk33zu6mkb9sqq
Tags: 1.4.12-1ubuntu4
Update to use reap patch which was accepted upstream in slightly different form.

Show diffs side-by-side

added added

removed removed

Lines of Context:
.pc/0001-libxt_recent-Add-support-for-reap-option.patch/extensions/libxt_recent.man
 
1
Allows you to dynamically create a list of IP addresses and then match against
 
2
that list in a few different ways.
 
3
.PP
 
4
For example, you can create a "badguy" list out of people attempting to connect
 
5
to port 139 on your firewall and then DROP all future packets from them without
 
6
considering them.
 
7
.PP
 
8
\fB\-\-set\fP, \fB\-\-rcheck\fP, \fB\-\-update\fP and \fB\-\-remove\fP are
 
9
mutually exclusive.
 
10
.TP
 
11
\fB\-\-name\fP \fIname\fP
 
12
Specify the list to use for the commands. If no name is given then
 
13
\fBDEFAULT\fP will be used.
 
14
.TP
 
15
[\fB!\fP] \fB\-\-set\fP
 
16
This will add the source address of the packet to the list. If the source
 
17
address is already in the list, this will update the existing entry. This will
 
18
always return success (or failure if \fB!\fP is passed in).
 
19
.TP
 
20
\fB\-\-rsource\fP
 
21
Match/save the source address of each packet in the recent list table. This
 
22
is the default.
 
23
.TP
 
24
\fB\-\-rdest\fP
 
25
Match/save the destination address of each packet in the recent list table.
 
26
.TP
 
27
[\fB!\fP] \fB\-\-rcheck\fP
 
28
Check if the source address of the packet is currently in the list.
 
29
.TP
 
30
[\fB!\fP] \fB\-\-update\fP
 
31
Like \fB\-\-rcheck\fP, except it will update the "last seen" timestamp if it
 
32
matches.
 
33
.TP
 
34
[\fB!\fP] \fB\-\-remove\fP
 
35
Check if the source address of the packet is currently in the list and if so
 
36
that address will be removed from the list and the rule will return true. If
 
37
the address is not found, false is returned.
 
38
.TP
 
39
\fB\-\-seconds\fP \fIseconds\fP
 
40
This option must be used in conjunction with one of \fB\-\-rcheck\fP or
 
41
\fB\-\-update\fP. When used, this will narrow the match to only happen when the
 
42
address is in the list and was seen within the last given number of seconds.
 
43
.TP
 
44
\fB\-\-hitcount\fP \fIhits\fP
 
45
This option must be used in conjunction with one of \fB\-\-rcheck\fP or
 
46
\fB\-\-update\fP. When used, this will narrow the match to only happen when the
 
47
address is in the list and packets had been received greater than or equal to
 
48
the given value. This option may be used along with \fB\-\-seconds\fP to create
 
49
an even narrower match requiring a certain number of hits within a specific
 
50
time frame. The maximum value for the hitcount parameter is given by the
 
51
"ip_pkt_list_tot" parameter of the xt_recent kernel module. Exceeding this
 
52
value on the command line will cause the rule to be rejected.
 
53
.TP
 
54
\fB\-\-rttl\fP
 
55
This option may only be used in conjunction with one of \fB\-\-rcheck\fP or
 
56
\fB\-\-update\fP. When used, this will narrow the match to only happen when the
 
57
address is in the list and the TTL of the current packet matches that of the
 
58
packet which hit the \fB\-\-set\fP rule. This may be useful if you have problems
 
59
with people faking their source address in order to DoS you via this module by
 
60
disallowing others access to your site by sending bogus packets to you.
 
61
.PP
 
62
Examples:
 
63
.IP
 
64
iptables \-A FORWARD \-m recent \-\-name badguy \-\-rcheck \-\-seconds 60 \-j DROP
 
65
.IP
 
66
iptables \-A FORWARD \-p tcp \-i eth0 \-\-dport 139 \-m recent \-\-name badguy \-\-set \-j DROP
 
67
.PP
 
68
Steve's ipt_recent website (http://snowman.net/projects/ipt_recent/) also has
 
69
some examples of usage.
 
70
.PP
 
71
\fB/proc/net/xt_recent/*\fP are the current lists of addresses and information
 
72
about each entry of each list.
 
73
.PP
 
74
Each file in \fB/proc/net/xt_recent/\fP can be read from to see the current
 
75
list or written two using the following commands to modify the list:
 
76
.TP
 
77
\fBecho +\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP
 
78
to add \fIaddr\fP to the DEFAULT list
 
79
.TP
 
80
\fBecho \-\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP
 
81
to remove \fIaddr\fP from the DEFAULT list
 
82
.TP
 
83
\fBecho / >/proc/net/xt_recent/DEFAULT\fP
 
84
to flush the DEFAULT list (remove all entries).
 
85
.PP
 
86
The module itself accepts parameters, defaults shown:
 
87
.TP
 
88
\fBip_list_tot\fP=\fI100\fP
 
89
Number of addresses remembered per table.
 
90
.TP
 
91
\fBip_pkt_list_tot\fP=\fI20\fP
 
92
Number of packets per address remembered.
 
93
.TP
 
94
\fBip_list_hash_size\fP=\fI0\fP
 
95
Hash table size. 0 means to calculate it based on ip_list_tot, default: 512.
 
96
.TP
 
97
\fBip_list_perms\fP=\fI0644\fP
 
98
Permissions for /proc/net/xt_recent/* files.
 
99
.TP
 
100
\fBip_list_uid\fP=\fI0\fP
 
101
Numerical UID for ownership of /proc/net/xt_recent/* files.
 
102
.TP
 
103
\fBip_list_gid\fP=\fI0\fP
 
104
Numerical GID for ownership of /proc/net/xt_recent/* files.