[[oktatas:linux:tuzfal:netfilter:iptables|< iptables]]

====== A recent modul ======

  * **Szerző:** Sallai András
  * Copyright (c) Sallai András, 2020
  * Licenc: [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]]
  * Web: https://szit.hu

===== A recent modulról =====

A recent modul a Debian 9-verzióban, az iptables mellett kiterjesztésként volt jelen.
A Debian 10 verzióban az nftables keretrendszer van beépítve, ahol az iptables csak
szimulált. A recent modul itt alapértelmezetten rendelkezésre áll. 


A modul segítségével a forrás IP címek egy listában gyűjthetők,
ami alapján később egy másik szabályt illeszthetünk a csomagra,
ha a forráscíme szerepel a listában.

<code bash>
# 2 perces tároló létrehozása, a forrás IP címek számára:
iptables -A INPUT -m recent --name valami --rcheck --second 120 -j ACCEPT

# Ha valaki meglátogatja a 80-s portot bekerül 2 percre a valami tárolóba:
iptables -A INPUT -p tcp --dport 80 -m recent --name valami --set -j ACCEPT

#Ha benne van a forrás IP cím a valami tárolóban, illeszkedik:
iptables -A INPUT -p tcp --dport 8080 -m recent --name valami --remove -j ACCEPT
</code>


A valami tároló következő helyen jön létre:
  * /proc/net/xt_recent

===== SSH =====

<code>
iptables -A INPUT -m recent --name valami --rcheck --seconds 5000 -j ACCEPT
iptables -A INPUT -p icmp -m length --length 826 -m recent --name valami --set -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --name valami --remove -j ACCEPT
</code>

  ping -c 1 -s 800 192.168.10.2


Az iptables beleszámolja az IP és ICMP fejlécet is. Az IP fejléc 20 bájt, az ICMP fejléc 8 bájt.

Ellenőrzésként szűrjünk csak a 800-s csomagméretre:
  tcpdump -s 800 -evvv
Ebben nincs benne az IP és az ICMP fejléc.

Egy forrás IP cím és időbélyege van eltárolva:
  cat /proc/net/xt_recent/valami