Есть ли Iptables под Windows, с правилами по ограничению подключений с одного IP?

Question

[Андрей]

Есть ли Iptables под Windows, с правилами по ограничению подключений с одного IP?
Пример на Linux (максимум 2 подключения с одного IP на порт 80)
iptables -t filter -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 2 -j DROP

Comments

[Ezhyg]

netsh же

Хотя, тут не все линуксоиды и стоит русским языком описать, чего именно ты хочешь добиться. По памяти, не могу сказать, что делает данная команда, посему точный ответ дать затруднительно.

[Андрей]

Ezhyg, так я же самым настоящим русским языком написал ведь. Нужно что-то на подобие Iptables, но под Windows, что не понятно-то? Интересно именно подобное правило вот одно, по ограничению количества подключений с одного IP, но на винде.

[Ezhyg]

Наподобие - брэндмауэр. Это тебе уже сказали.

А русским - это как раз требуемый результат. Но честно говоря, я тупо пропустил - проморгал эту часть сообщения, сразу уцепился взглядом за команду . Уж не обессудь.

https://admx.help/?Category=Windows_10_2016&Policy...
Поможет?

[Андрей]

Ezhyg, ссылка битая вроде, не могу пройти... но мне под Windows Server 2003 надо если что.

[hint000]

Андрей, ссылка не битая, но там про ограничение только для RDP, через реестр. Для всего кроме RDP не поможет.

Answer 1

[АртемЪ]

Iptables это название фаервола под линукс.
Под windows другие фаерволы - в первую очередь встроенный брандмауэр.

Comments

[Андрей]

@АртемЪ, ты хотел сказать под линукс, а не под виндовс, однако, речь ведь не о встроенном корыте в винде, которое не умеет делать того, что я выше изложил.

[АртемЪ]

Андрей, Виндовс это другая ОС, совершенно другие сетевые драйвера, и фаервол отличается как по функциональности так и по удобству. Собственно с задачами виндовый фаервол справляется, и все что надо там есть.
Но без излишеств. Это все-таки ОС для персонального компьютера, а не роутер.

[Ezhyg]

Андрей, он только снаружи такой "корыто", внутри у него масса возможностей, часто (относительно), их проще реализовать из командной строки.

[Андрей]

Ну так подскажите мне как можно ограничить количество подключений с одного IP на Windows. В Windows Server 2003 имеется встроенный фильтр, там можно фильтровать трафик, например открыть конкретные порты tcp/udp, а вот есть ли там что-то по ограничению подключений с одного айпи?
Ёжик, я знаю, ты ленивый, но ты должен выручить меня в этот раз )) Если проблема моя разрешится, то я в долгу не останусь.

[Ezhyg]

Андрей, дело не в лени, у меня переезд затянувшийся :( Я и комп-то включал, три раза за полгода.

Answer 2

[CityCat4]

"Не бывает" (С) Чародеи

Comments

[Андрей]

Всё бывает, если этого нет у кого-то, то это не значит, что этого нет вообще. Просьба не писать чушь, только если что-то по делу есть.

[CityCat4]

Андрей, Брателло, если у тебя не хватает тяму понять, что написано в правиле и как это правило преобразовать для встроенного виндового файрволла (который обладает достаточной для игровой машины функциональностью), то это вовсе не значит что кто-то подорвется преобразовать код, написанный для ядра линуха, в код для винды - только для того, чтобы ты мог не напрягая мозги правило, где-то вычитанное скопипастить.
Если же это встроенному виндовому файрволлу не под силу, то надо задуматься не о том, как заставить игровую машину заниматься несвойственной ей деятельностью, а о том, чтобы правильно поставить задачу размещения веб-сервера так, чтобы не пришлось заниматься очевидной чушью.

iptables для винды не бывает. Равно как не бывает для нее ipfw, pf и прочих других файрвоолов - потому что в этом нет необходимости.

Answer 3

[Saboteur]

Встроенный файрвал винды такое не умеет. Можно попробовать посмотреть на сторонние решения.

Comments

[Андрей]

Так я прекрасно знаю, что обычный дырявый фаер виндовый не умеет такого, я потому и спрашиваю о сторонних решениях. Может ты саботеур сможешь чего найти? В долгу не останусь.
Даже по IpFiltel, там просто порты нужные настраиваются, ипы, и не более...

[Saboteur]

Твоя агрессия по отношению к виндовс непонятна - это отличная операционная система со своими фичами и достоинствами. Просто нужный тебе функционал не нужен для домашней системы, поэтому его там и нет.
Если брать IIS, то там есть такая опция, но именно для IIS

Поэтому в качестве вариантов - либо коннекшены могут резаться самой программой, либо ставить что-то на пути (nginx, haproxy, может быть в apache это есть). Можно посмотреть сторонние файрволы, какие-нить касперские, комодо, но эта идея мне не нравится - уже проще поставить вообще перед виндой роутер, который будет это делать.

[Андрей]

Saboteur, что-то я не пойму, о какой агрессии идёт речь? Ты меня видимо с кем-то перепутал, лучше внимательно читать сообщения. У меня как раз и стоит Windows, и мне надо фильтр на нём определённый иметь, на примере Iptables (правило я указал для примера). Видимо ты меня вообще не понимаешь, и речь идёт не о веб-сервере, а о всей системе в целом, сразу видно, что ты не знаком с тем правилом, которое я указал в теме вопроса.

[Saboteur]

Андрей, Нет, это ты лучше перечитай свои сообщения внимательно.
Ты везде агрессивно тычешь пальцем что никто не понимает о чем идет речь. Что кто-то с чем-то не знаком, что кто-то не в теме, что где-то что-то корыто.

При этом тебе дают верные ответы, а именно:
1.Родной файрвол винды НЕ УМЕЕТ то, что ты хочешь. Это указано и в моем ответе и в ответе CityCat4 и в комментариях от Ежа.

2. Обычно не подключаются к целой системе - подключаются к конкретному порту, и тут уже можно посмотреть на варианты чем можно проксировать такие запросы - haproxy,nginx,и др. Либо ставить стороннее решение или вообще отдельный роутер по пути к винде - это варианты решения.

3. Если вопрос вообще стоит о защите от dos или ddos, то это однозначно не уровень фаервола винды или линукса.

И из этого и придется выбирать - нет штатного решения в винде.

[Андрей]

Saboteur, нет, ты реально не понял что я имел ввиду, один мне пишет что Iptables это тока для линуха и т.д., но я и не писал, что он для винды, вообще у меня конкретный вопрос в теме задан, но мне пишут одну чушь, и постоянно уводят с темы. И про агрессию, ты гонишь реально, пальцем сам тычешь и хочешь накормить меня дешовой шелухой, мне не 15 лет, так что не путай, и будь внимателен.

1. Я знаю, я разве писал, что он умеет это делать, или можно его заставить насильно? Зачем по 20 раз повторять то, что и так все знают. Речь не о родном фаере, это понял бы раз 100 обычный ребёнок, сложно прочитать что я пишу? Ёжик также, сначала пишет, а потом читает, видимо тут все так делают, превратили тостер в некую помойку, побыстрее ответить все хотят и некие очки срубить, детский сад...
Про глупую школотину CityCat4 вообще не стоило упоминать, он даже не в курсе, что есть ipfw под винду, и с пеной у рта мне доказывает обратное, надрываясь, тявкая, и чиркая бредни храмой кобылы, ну просто полный имбецыл.

2. Мне не нужны прокси, я через роутер и прокси это без проблем могу сделать. Вопрос в другом вообще, с темы уходить не хорошо.

3. Не вопрос, а суть, и да, речь о защите от дос на уровне открытых соединений.

[Saboteur]

Защиты от DDOS - на уровне пользовательского компа - нет.

Какой бы файрвол не стоял, он стоит на сетевом стеке (а в винде сетевой стек по функционалу послабее чем в *никс, поэтому и файреволы которые на него ставят не могут все), а не до него.

от DOS - опять таки, виндовый сетевой стек малофункциональный. Именно поэтому такая простая вещь как per ip rate есть почти в любом *никсовом решении, но отсутствует даже в платных решениях крупных вендоров (kaspersky, kerio, juniper, etc) - везде подобные решения идут на уровне отдельной операционки, которая запускается на отдельном оборудовании.

Я не работал с wipfw, но уверен, что его функционал заметно отличается от того, что он умел в freebsd, и рейт лимит по айпишникам в нем отсутствует, особенно для современной 64битной винды.

Поэтому конкретно по твоему вопросу - именно на уровне архитектуры такое решение будет нерабочим - пакеты будут фильтроваться уже после того как получены сетевым стеком. Поэтому от DDOS - вообще никак, от DOS - ну или прокси или самим приложением откидывать.

[Андрей]

Saboteur, вопрос более не актуален, удалось найти нужное ПО в итоге, и да, это я прекрасно знаю что ты описал, и что винда с DDOS не справится, но мне нужно было решение именно по DOS, и без всякой воды в уши. А этот твой друг CityCat4 так вообще даун полный, всякую чушь только и пишет.

[CityCat4]

Андрей, Да нужен ты мне - доказывать что-то... Я не связываюсь с упоротой школотой, считающей себя пупом земли. Уже лет двадцать как.

[Saboteur]

Андрей, Было бы интересно почитать как был решен вопрос.