Adjusted some more plugins for ipv6
[alff.git] / share / plugins / plugin.d / create_chain_tcp_header_check
index 3533d90..11bab0b 100755 (executable)
@@ -25,4 +25,14 @@ iptables -A tcp_header_check -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state
 iptables -A tcp_header_check -p tcp ! --syn -m state --state NEW -m limit --limit 3/m --limit-burst 5 -j LOG --log-prefix "alff new-without-syn: "
 iptables -A tcp_header_check -p tcp ! --syn -m state --state NEW -j DROP
 
+##
+# If packet has SYN/ACK set and is new to ct, someone is trying nasty things
+ip6tables -A tcp_header_check -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -m limit --limit 3/m --limit-burst 5 -j LOG --log-prefix "alff syn-ack-but-new: "
+ip6tables -A tcp_header_check -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
+
+##
+# If the paket is new to conntrack but does not have 'syn' set, someone is trying nasty things, too
+ip6tables -A tcp_header_check -p tcp ! --syn -m state --state NEW -m limit --limit 3/m --limit-burst 5 -j LOG --log-prefix "alff new-without-syn: "
+ip6tables -A tcp_header_check -p tcp ! --syn -m state --state NEW -j DROP
+
 EOF