Форум Сайтостроение Администрирование серверов

Настройки connlimit + iptables

123 4
O
На сайте с 13.08.2008
Offline
26
Outsourcenow
#11

"Собрать iptables с поддержкой connlimit"...

OMG.

connlimit - модуль нетфильтра, который iptables подгружает по необходимости. Ничего никуда пересобирать не надо.

А надо посмотреть dmesg и увидеть там сообщения о переполнении таблицы активных коннектов в этом самом connlimit.

Outsourcenow.ru: оттюним ваш веб-сервер. 100 млн. запросов в сутки - наш размерчик!
M
На сайте с 16.09.2009
Offline
278
myhand
#12
Outsourcenow:
"Собрать iptables с поддержкой connlimit"...

OMG.

connlimit - модуль нетфильтра, который iptables подгружает по необходимости. Ничего никуда пересобирать не надо.

А надо посмотреть dmesg и увидеть там сообщения о переполнении таблицы активных коннектов в этом самом connlimit.

Телепатия?

Вот, популярное объяснение:

http://lists.centos.org/pipermail/centos/2008-June/059656.html

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().
O
На сайте с 13.08.2008
Offline
26
Outsourcenow
#13
myhand:
Телепатия?

Она самая.

N
На сайте с 06.05.2007
Offline
419
netwind
#14

Outsourcenow, cпециально для тех кто не ходит по ссылкам http://forum.ispsystem.com/ru/showthread.php?t=6419

[root@server ~]# iptables -A INPUT -p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT
iptables v1.3.5: Couldn't load match `iplimit':/lib/iptables/libipt_iplimit.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

libipt_iplimit.so - такого файла у меня нету
Кнопка вызова админа ()
O
На сайте с 13.08.2008
Offline
26
Outsourcenow
#15
netwind:
Outsourcenow, cпециально для тех кто не ходит по ссылкам http://forum.ispsystem.com/ru/showthread.php?t=6419

Мои соболезнования :-)

5 минут назад налитый vps из дефолтного дистрибутива:

# cat /etc/issue

CentOS release 5.2 (Final)

Kernel \r on an \m

# uname -r

2.6.18-92.1.18.el5

# locate limit.so | grep iptable

/lib64/iptables/libipt_connlimit.so

/lib64/iptables/libipt_hashlimit.so

/lib64/iptables/libipt_limit.so

#

А хотя да, там же iplimit - косяк.

N
На сайте с 06.05.2007
Offline
419
netwind
#16

так у него и с connlimit тот же косяк

M
На сайте с 16.09.2009
Offline
278
myhand
#17
WapGraf:

вместо deny from писал iptables -I INPUT -s ip -j DROP
но устал каждое утро банить уже)

Так напишите лучше скрипт. Если устанавливается нормальное

соединение (т.е. не syn flood) - блокировать стоит в первую очередь на

уровне nginx/apache. Они понимают HTTP, а iptables - нет.

Дальше дело техники - особо досождающих можно отловить в access_log по статусу (403,

скажем) и добавить (iptables/ipset) в блеклист.

[Удален]
#18

мнения разные. а всетаки для лучшей защиты от ддоса что сделать?

kxk
На сайте с 30.01.2005
Offline
990
kxk
#19

WapGraf, Заплатить денег скажем мне или Костичу :)

Ваш DEVOPS
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#20

Еще я могу отбить классический ddos, если канал к серверу не забили

Не стоит плодить сущности без необходимости
123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий