madoff

souladm
Рейтинг
235
Регистрация
01.12.2009
Должность
administrator
Интересы
Linux Unix
I am terminator ;)
Не работает hashlimit для iptables
Boris A Dolgov:
Я не вижу смысла расписывать свою идею о том, что посещения нескольких ссылок могли пройти в одном tcp-соединении к apache из-за использования keepalive, так как умный человек сможет понять это и из одного слова :)

Вы наверное не правильно понимаете маю суть... причём тут keepalive до iptables

пишит:

-------------------

На сервере работает Apache.

Пишу 2 правила для фаервола

-------------------

Я отвечаю:

Ув. zexis! предоставите пожалуйста вывод:

В ssh под root в ведите

iptables -L -nv

И дайте вывод нам в форум что-бы мы не гадали что у вас за порядок правил-цепочек, и откомпилирован Iptables у вас с модулем hashlimit ? какая версия Iptables какое ядро, какая система,вы дали сводную информацию и нельзя составить цепочку логики работы iptables

-------------------

iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-upto 2/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name h1 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP

Правила добавляются успешно.

--------------------

По логике они должны разрешать создание не более 2 новых конектов за час.

--------------------

Однако доступ к www серверу все равно происходит нормально, даже если несколько раз нажимать на ссылки.

--------------------

Почему не срабатывает ограничение hashlimit не понятно.

Попробовал на 2-х разных северах.

---------------------

Борис причём тут ваш keepalive каторвй устанавлвиаетца в Apche ? скажите куда его тут приткнуть ? :)

madoff добавил 02.12.2009 в 15:35

myhand:
то, что дергая ссылки на сайте - он совершенно не обязательно откроет
новое TCP-соединение.



представляю отчетливо: человек хочет потестировать работу правил. низкий
лимит - специально, чтобы попасть в DROP.

да пусть дёргает что хочет 😆, мы по факту разговариваем за iptables ))) вот я и пишу причём тут iptables До keepalive ))

Не работает hashlimit для iptables
myhand:
ему указали в первом ответе, что работа правил зависит от предыдущих в цепочке.

имхо, что-то конструктивное к этому добавил только Борис.

PS: hashlimit у NC есть, естественно - иначе ядро ругалось бы при попытке добавления правил.

Что для вас конструктивное ? (keepalive?)? (борис написал это к чему привязать к apache, ? или keepalive? tcp, я не пойму ? где же конструктивность ?)он же в посте не знает даже что го-варит...вы себе представляете на 80 порт ограничить 2 соединение в час ?(это я пишу к теме что ему указали о том что всё зависит от пред ведущих цепочек(как можно писать о цепочках, когда он в правела туго в некает:)) ),я не хочу в падать в перепалку слов..я вижу вы обсуждаете его правела я предоставил команды, что бы понять о его созданных правилах..чтобы понять нужно ли добавлять первым его или нужно смотреть цепочки input а может у него CSF стоит тогда там вопще другая картина Репина...я сочетаю что надо для начала рассмотреть работу его правил и углубиться в систему..как бы то не было я думаю что мы и так много ему написали должен и сам разобрать 🍻

Не работает hashlimit для iptables

Ребята что вы пишите?, ну если уже пошло разбирательство по поводу iptables то первым делом надо писать такое *)

Ув. zexis! предоставите пожалуйста вывод:

В ssh под root в ведите

iptables -L -nv

И дайте вывод нам в форум что-бы мы не гадали что у вас за порядок правил-цепочек, и откомпилирован Iptables у вас с модулем hashlimit ? какая версия Iptables какое ядро, какая система,вы дали сводную информацию и нельзя составить цепочку логики работы iptables

Помогите отпарсить лог от син флуда
Outsourcenow:
1. Каким боком nginx связан с syn-flood?
2. Не надо ничего нигде банить - настройте limit_zone в nginx.

Придерживаюсь судя по логам, не надо не чего Dro-пать *) Iptables.

http://sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html#limit_req_zone

Чем занимается сервер в 00.00
@ya:
uptime 22:20:20 up 1 day, 22:06, 1 user, load average: 0.41, 0.41, 0.45
Время менять вдс не дает.
Теоретически у webmin есть 1) антивирус clamd, 2) бэкапилка, 3) анализатор логов - 1-е не нашел, остальное отключено.
Сервер не виснет. Если зайти по ssh до зависания, то и во время зависания putty работает и по top ничего критичного не наблюдается.

@ya добавил 02.12.2009 в 00:15
Посмотрел сейчас по putty/ nginx кушает до 50% cpu при этом рубит все коннекты, после этого образуется error_log на 20 Гб. Где посмотреть конкретно его задания, а то у него конфигов разных как грязи. Версия 8.1.0. Спасибо.

Тяжело по данной информации, разобрать проблему, вам нужен специалист.

пользователи в линукс и группы
Vanger:
это уже сделано
насколько я понимаю, у реселлера нет возможности сделать себе ftp-аккаунт
да, с помощью реселлерского акка они смогут через ISP заходить в аккаунты сайтов и править в файловом менеджере данные сайтов
но ftp-акк сделать это не поможет

Да не как,но то что он хочет, это надо делать руками,самый лучший вариант я предложил если имеется панель..она имеет все возможности для работы с сайтом...это лучше чем отдать сервер под рутом ftp :) что я бы не делал...

Хочу напомнить что можно в конфигурации, ftp указать пользователей...руками и отстроить пров-а...но будте бдительны...если вы что то делаете руками, и потом что то делаете в панели, это может быть чревато серьёзными последствиями..

пользователи в линукс и группы
Vanger:
есть сервер с Debian и ISPmanager
Apache, php, mysql
php работает в режиме модуля apache
я занимаюсь его администрированием
на серверы размещаются разные сайты, т.ч. сайты одних человеков, у которых появилось "интересное пожелание":
для каждого сайта сделать аккаунты в ispmanager, с ssh и ftp доступом, т.е. отдельного системного пользователя
при этом им хочется иметь один мастер-аккаунт (главный пользователь), который позволит зайти по ftp или через файловый менеджер в ISP, и править данные всех своих сайтов, несмотря на то, что каждый сайт в своей директории под своим пользователем
почему хочется иметь один аккаунт для работы с сайтами - тупо не хочется запоминать/забивать в ftp клиент много паролей от сайтов

мне самому идея не нравится, но если просят, можно попробовать осуществить

думал про два варианта:
1. пересадить на отдельный сервер. в качестве "мастер-аккаунта" отдать им рут-доступ, и пусть сами делают что хотят. апач запускать наверное из-под рута. коряво, не безопасно
2. добавить линукс-пользователя их "мастер-аккаунта" в одну группу к пользователям сайтов (через /etc/group), поставить права на файлы-папки такие, чтобы "главный пользователь" имел возможность заходить в директории юзеров и изменять там все по своему желанию
апач запускать из-под юзеров, через apache mpm-itk

может быть, кто-нибудь подскажет еще какие-то варианты? )) единственное, хочется сделать не слишком сложную систему

еще раз, понимаю что затея выглядит "не правильно", но уже самому стало интересно, какие "костыли" можно сделать.

Ispmanager - раздел Реселлеры создаёте Реселлера и там создаёте аккаунты, отдаёте логи пароль рейслера и пусть работают.

Найти скрипт вешающий сервер.
Stripe:
Добрый день.
Ситуация вкратце такая:
Есть сайт, полностью самописный (писал не я), размещен на хостинге. Несколько раз замечал за ним такое поведение, что сам сайт работает, а админка лежит. Всвязи с этим вопрос: что так ложит сайт?

Нужно изучить работу скриптов, и работу сервера, по другому не получиться...

А если телепатически ,то проблема со скриптом,так или иначе...при открытие сайта весит админа,если сайт работает, значить сервер не может не работать,можно предположить )) или есть CPU limit, может ваш скрипт работает долго и его рубит сервер,а может стоит RAM limit и просто скрипт вышибает из за того что много кушает памяти...а может быть написать книгу войну и мир мне ?,я надеюсь вы поймёте то что вы на писали, относить к пониманию..."что то работает плохо а что не знаю,подскажите." :)

грамотно настроить сервер
Мишка2fast:
Постоянно падает база мускл - приходится включать вручную:( fastvds - сервер
Там сайты -все маленькие и дохленькие. Но косяк - в настройке или каких то криптах на главном крупном сайте. Скорей всего требования могут быть- обыкновенный хостинг или минимальный сервак, а не мой дорогущий.
Кто поможет все это отладить и настроить ... за плату конечно.
- оптимизировать скрипты, чтобы требования к хостингу были минимальными
- понять нужен у этого хостера сервер попроще или может вообще ограничиться виртуальным хостингом обычным.
- если надо все перенести на новое место и наладить там работу

Могу грамотно, настроить ваш сервер, настройка,защита от DDOS Flood,и т п ,ICQ#:241606 В цене сойдёмся опыт работы более 5 лет...в сфере хостинг услуг.

Не работает hashlimit для iptables
zexis:
На сервере работает Apache.
Пишу 2 правила для фаервола

iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-upto 2/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name h1 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
Правила добавляются успешно.

По логике они должны разрешать создание не более 2 новых конектов за час.
Однако доступ к www серверу все равно происходит нормально, даже если несколько раз нажимать на ссылки.
Почему не срабатывает ограничение hashlimit не понятно.
Попробовал на 2-х разных северах.

Я не совсем понял для чего нужно 2 соединения в час ибо работать с таким серьёзным ограничением сер весы нормально не будут...попробуйте использовать модуль recent он работает на совпадение,грубо говоря если 5 раз обратился ,то он блокируют на заданный интервал...

1... 318319320321322323324325
Всего: 3250