Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2007-11-16 11:15:37

  mihoo_koz - Użytkownik

mihoo_koz
Użytkownik
Zarejestrowany: 2006-09-27

limit pps i połączeń

Witam!

macie jakoś skuteczną regułę na limit połączeń i limit pps z wykorzystaniem
iptables?

Offline

 

#2  2007-11-16 11:54:20

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: limit pps i połączeń

Limit połączeń proponuję sobie odpuścić , bo nic dobrego się z nim nie wiąże.

Limit pps można rozwiązać tak:

Kod:

LAN="ethx"
WAN="ethx"


iptables -N upstream_limit
iptables -A FORWARD -i $LAN -o $WAN -j upstream_limit
iptables -A upstream_limit -m hashlimit --hashlimit-mode srcip --hashlimit-name upstream_limit --hashlimit 200/s -j ACCEPT
iptables -A upstream_limit -j DROP

iptables -N downstream_limit
iptables -A FORWARD -i $WAN -o $LAN -j downstream_limit
iptables -A downstream_limit -m hashlimit --hashlimit-mode dstcip --hashlimit-name downsream_limit --hashlimit 200/s -j ACCEPT
iptables -A downstream_limit -j DROP

Aby przy maksymalnej ilości pps nie krzaczyło się www ani DNS można te rodzaje ruchu wybić z poczególnych łańcuchów [up/down]stream_limit:

Kod:

iptables -A upstream_limit -p tcp --dport 80 -j RETURN
iptables -A upstream_limit -p udp --dport 53 -j RETURN

iptables -A downstream_limit -p tcp --sport 80 -j RETURN
iptables -A downstream_limit -p udp --sport 53 -j RETURN

...pamiętając o tym , by umieścić re reguły przed regułką dropującą ;]

Offline

 

#3  2007-11-16 12:15:59

  mihoo_koz - Użytkownik

mihoo_koz
Użytkownik
Zarejestrowany: 2006-09-27

Re: limit pps i połączeń

I czy ma sens zastsować tak jak Ty podałes dla całego lanu czy dla poszczególnego usera ?

Offline

 

#4  2007-11-16 13:21:46

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: limit pps i połączeń

Hashlimit sam buduje listę adresów ip ( w naszym przypadku na podstawie srcip / dstip ) i ogranicza dla kazdego z osobna.

Offline

 

#5  2007-11-16 13:46:03

  mihoo_koz - Użytkownik

mihoo_koz
Użytkownik
Zarejestrowany: 2006-09-27

Re: limit pps i połączeń

a czy można za pomocą hashlimit ograniczyć tylko jednego usera, jeżlei tak to w jaki sposób?

Offline

 

#6  2007-11-16 14:16:59

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: limit pps i połączeń

Dla jednego usera wystarczy zwykłe `limit`.

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)