Вы верно поняли про "другие методы" :) А кончатся или нет - зависит от атаки. В любом случае - 100 правил файервола на типичном тарифном плане для тупого бана не хватит.
Нет таких безумных тарифных планов VPS.
Тупой бан на файерволе - не для VPS. Там другие методы нужно использовать.
Не очень большая атака, судя по цифрам (конечно, далеко не факт что атакующий ими ограничится). Даже на VPS отбиться можно, не говоря уже о выделенном сервере.
Конечно, если у Вас виртуальный хостинг, то хостер этим заморачиваться не будет.
Нет. Нету.
Посмотреть логи. Вдруг все не так радужно - были отказы в обслуживании и т.п.
А более - никак. Если показатели, связанные с производительностью никак не собирались.
Ни фига себе "справился". Раз сервером управлять невозможно - какое тут "справился"...
"зайти по ssh" надо вылечить, а потом уже любоваться нагрузкой. Можно установить что-то для сбора данных. munin, sysstat и т.п.
Что конкретно за ядро? uname -a ?
Т.к. в штатном ядре все есть (как и поддержка модуля в утилите iptables). Может в каких специальных сборках открутили (типа *-vserver), но я таких сходу не помню.
# modinfo xt_connlimit
filename: /lib/modules/2.6.26-2-amd64/kernel/net/netfilter/xt_connlimit.ko
alias: ip6t_connlimit
alias: ipt_connlimit
license: GPL
description: Xtables: Number of connections matching
author: Jan Engelhardt <jengelh@computergmbh.de>
depends: x_tables,nf_conntrack
vermagic: 2.6.26-2-amd64 SMP mod_unload modversions
В дебиане несложно все сделать make-kpkg - оно Вам и пакет соберет, который можно потом вручную поставить на сервера или положить в свой репозитарий и установить из него.
man make-kpkg
100 правил хватит?
Да, я тоже думаю что хватит. Но только если не страдать фигней типа блокирования отдельных IP или подсетей.
Раз "не пускает" - загнали свой IP в какой-то из диапазонов. Неужели еще не ясно?
PS: Вообще, на VPS с OpenVZ (!) - еще и ограничения на количество правил файервола. Бороться с ДОС на уровне iptables там обычно просто глупо. Либо берите для этого физический сервер - либо включайте наконец голову и используйте nginx (если именно сайты досят, т.е. по HTTP). Либо обратитесь к кому-нибудь - все настроят за $.
Нередко на VPS ну просто нету модуля state. Так что нужно напрямую смотреть флаги пакетов, см. опции --syn и --tcp-flags
Если centos-подобный дистрибутив - там такое есть изкаропки. Если дебиан - там такую глупость делать не надо. Правильно - добавить пару строчек в /etc/network/if-pre-up.d/iptables:
http://debian-administration.org/articles/615
Не надо подобное брать на заметку. Так в CentOS уже сделано.
