IHC.RU - Решаем любые проблемы с размещением любых сайтов!

Наклеить не могу, потомучто

Погуглите, есть альтернативные решения. Я сам недавно столкнулся с аналогичной проблемой - и решил ее без замены ядра, хотя на нодах c OVZ не тестил еще.

Что же там за ядра такие стоят на серверах, что ipt_iplimit не работает в виртуалке? Или же политика хостинг-компании такова, что ничего сверх стандартов не подключают?

Пример:

root@nurg-testip:/# iptables -A INPUT -p udp -m  limit --limit 300/second

root@nurg-testip:/# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

           udp  --  anywhere             anywhere            limit: avg 303/sec burst 5 



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination         

root@nurg-testip:/# uname -a                                             

Linux nurg-testip.gigespace.net 2.6.18-164.11.1.el5.028stab068.5ent #1 SMP Mon Mar 15 19:36:15 MSK 2010 i686 GNU/Linux

-m limit у нас отлично работает.

xxx:~# iptables -A INPUT -p udp -m  limit --limit 300/second

xxx:~# iptables-save -c -t filter

# Generated by iptables-save v1.4.2 on Mon Jul 26 21:03:58 2010

*filter

:INPUT ACCEPT [9096708:3632724491]

:FORWARD ACCEPT [15:983]

:OUTPUT ACCEPT [12208578:7012313471]

[858:66448] -A INPUT -p udp -m limit --limit 303/sec

COMMIT

# Completed on Mon Jul 26 21:03:58 2010

xxx:~# iptables -D INPUT -p udp -m  limit --limit 300/second

Вчера потестировал ваш вирт. хостинг на тестовом аккаунте. Наверно остался бы, но панель управления, к сожалению, оттолкнула. :(

root@nurg-testip:/# iptables -A INPUT -p udp -m  limit --limit 300/second

root@nurg-testip:/# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

           udp  --  anywhere             anywhere            limit: avg 303/sec burst 5 



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination         

root@nurg-testip:/# uname -a                                             

Linux nurg-testip.gigespace.net 2.6.18-164.11.1.el5.028stab068.5ent #1 SMP Mon Mar 15 19:36:15 MSK 2010 i686 GNU/Linux

-m limit то работает, вот только не сделаешь через него ограничение на каждый IP адрес :(

Лучшим выходом из всех ситуаций будет подробное оглашение задачи, которая должна быть достигнута. Скажите что Вы пытаетесь сделать/достигнуть?

Я пытаюсь защитить себя от UDP флуда!

Пытаюсь следующим образом http://sys-admin.org/node/72

# Максимум 10 одновременных соединений к 80 порту с одного IP

iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT

# Блокируем на стадии SYN

iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10

# 20 соединений на сеть класса С

iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT

но ничего не получается, так как нема iplimit

ipt_limit имеет только частичную поддержку в ovz ядре. То что Вам необходимо в ovz отсутствует.

Можно вот так:

iptables -N CONNECTIONS

iptables -A INPUT -p tcp --syn --dport 80 -j CONNECTIONS

iptables -A CONNECTIONS -p tcp --syn --dport 80 -m limit --limit 10/s -j RETURN

iptables -A CONNECTIONS -j REJECT

Не полностью то, что Вам надо, но часть работы делать будет. А вообще смотрите в сторону mod-evasive для apache.

А что вам в панели не понравилось? У нас своя и пока что не жалуемся :)