Оптимальные правила iptables

[Мню]

Я так понял это первый вариант:

$IPT -I INPUT -p tcp --syn --dport 80 -i eth1 -m connlimit --connlimit-above 20 -j DROP

А это второй.

$IPT -N syn-flood
$IPT -A INPUT -p tcp --syn -j syn-flood
$IPT -A syn-flood -m limit --limit 1/s --limit-burst 20 -j RETURN
$IPT -A syn-flood -j DROP

И оба не помогают? Странно, должно помогать.
Банально попробуй сделать так:
$IPT -I INPUT -p tcp --syn --dport 80 -i eth1 -m limit --limit 1/s -j LOG
$IPT -I INPUT -p tcp --syn --dport 80 -i eth1 -j DROP
Будут ли атаки в логе, и поможет ли это решить проблему.
Если да, то попробую на своем стенде.

[Schum@cheR]

извините за глупый вопрос, а где логи то смотреть???  :(

[Мню]

извините за глупый вопрос, а где логи то смотреть???  :(

А ман читать лень?
/var/log/messages

[Schum@cheR]

нужен совет, как почистить правила и сделать так чтобы они перестали загружаться при старте, у меня просто были привала фаервола в папке /etc/.rc.d/rc.firewall потом я так же сделал iptables-save и service iptables save
после, у меня появились более новее правила, но старые после рестарта оси всеодно грузяться, откуда не могу найти, гуглил в инете нечего толкового не нашол...
в итоге удалил вообще такие файлы:
/etc/.rc.d/rc.firewall
/etc/sysconfig/iptables-save


кто подскажут где ещё могут лежать старые правила???  :(

[Schum@cheR]

так и не нашол откуда всё таки подгружались старые правила, но решил сделать умнее, прописал в кроме раз в минуту проверять правила и если они не такие как надо чистить =) :)

кстате по поводу проблему с SYN_RECV атакой... вот чсто сделал:
1)обновился с бранча петёрки
2)обновил от туда же айпи таблес (щяс он версии 4.0)
3) и о чудо почему только после этого правила заработали и стали давить подобные атаки:

$IPT -A INPUT -p tcp --dport 80 -i ppp0 -m connlimit --connlimit-above 20 -j REJECT
$IPT -I INPUT -p tcp --syn --dport 80 -i ppp0 -m connlimit --connlimit-above 20 -j DROP

***место 80 может быть ваш порт, мето ppp0 любое другое подключение или девайс...