Am 14.03.2012 23:59, schrieb Ronny Seffner:
Meinst Du, das geht doch für mich als Regelschreiber ganz ohne die Quell-IP:
$FW -A INPUT -i $OUT_IF -s 0.0.0.0/0 -d $OUT_IP -p tcp -m state --state NEW --sport 1024:65535 --dport 53 -m hashlimit --hashlimit 3/second --hashlimit-mode srcip,dstport --hashlimit-name dns -j ACCEPT $FW -A INPUT -i $OUT_IF -s 0.0.0.0/0 -d $OUT_IP -p udp -m state --state NEW --sport 1024:65535 --dport 53 -m hashlimit --hashlimit 3/second --hashlimit-mode srcip,dstport --hashlimit-name dns -j ACCEPT
Ich würde das Limit vielleicht nicht ganz so knapp setzen, wenn eine normale Anfrage schon aus 3 Querys besteht. Vielleicht fragt derselbe Client kurz darauf noch nach einem anderen Eintrag. Die "Angriffe" haben ja wahrscheinlich deutlich höhere Werte.
Gruß Rico