а вот оно как. А можно доставить еще один не SAS? и там барахло хранить
не помогает... мускул все равно закрывается через 10-15 секунд
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.
# Controls IP packet forwarding
net.ipv4.ip_forward = 0
# Controls source route verification
# net.ipv4.conf.default.rp_filter = 1
# Do not accept source routing
# net.ipv4.conf.default.accept_source_route = 0
# Controls the System Request debugging functionality of the kernel
# kernel.sysrq = 0
# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
# kernel.core_uses_pid = 1
# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1
# Disable netfilter on bridges.
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0
# Controls the maximum size of a message, in bytes
kernel.msgmnb = 65536
# Controls the default maxmimum size of a mesage queue
kernel.msgmax = 65536
# Controls the maximum shared segment size, in bytes
kernel.shmmax = 1073741824
# Controls the maximum number of shared memory segments, in pages
kernel.shmall = 262144
# Enables source route verification
net.ipv4.conf.all.rp_filter = 1
# Enables the magic-sysrq key
kernel.sysrq = 1
# TCP Explict Congestion Notification
#net.ipv4.tcp_ecn = 0
# we do not want all our interfaces to send redirects
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.all.send_redirects = 0
net.ipv4.ip_dynaddr = 1
net.ipv4.tcp_keepalive_time = 15
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 5
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.netfilter.ip_conntrack_max = 224000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 190
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 30
по крону
curl -s 'http://site.com/grabber/gr_start.php'
Вот еще проблема при добавлении GeoIP в секцию cfqnf
if ($good_country = no){return 404;}
Крон вообще перестает работать (сервер в нидерландах)
Конфиг nginx
#######################################################################
# This is the main Nginx configuration file.
# More information about the configuration options is available on
# * the English wiki - http://wiki.nginx.org/Main
# * the Russian documentation - http://sysoev.ru/nginx/
#----------------------------------------------------------------------
# Main Module - directives that cover basic functionality
# http://wiki.nginx.org/NginxHttpMainModule
user apache;
worker_processes 2;
worker_rlimit_nofile 10000;
error_log /var/log/nginx/error.log;
#error_log /var/log/nginx/error.log notice;
#error_log /var/log/nginx/error.log info;
pid /var/run/nginx.pid;
# Events Module
# http://wiki.nginx.org/NginxHttpEventsModule
events {
worker_connections 1024;
use epoll;
}
# HTTP Core Module
# http://wiki.nginx.org/NginxHttpCoreModule
http {
include /etc/nginx/testcookie_whitelist.conf;
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
reset_timedout_connection on;
server_tokens off;
gzip on;
gzip_buffers 64 8k;
gzip_proxied any;
gzip_static on;
gzip_comp_level 5;
gzip_http_version 1.1;
gzip_min_length 1024;
keepalive_timeout 15;
gzip_vary on;
gzip_types text/plain text/xml application/xml application/x-javascript text/javascript text/css text/json;
gzip_disable "msie6";
gzip_disable Firefox/([0-2]\.|3\.0);
proxy_buffers 8 64k;
proxy_intercept_errors on;
proxy_connect_timeout 1s;
proxy_read_timeout 35s;
proxy_send_timeout 35s;
client_header_timeout 15;
client_body_timeout 15;
send_timeout 5;
limit_req_zone $binary_remote_addr zone=antiddosphp:10m rate=1r/s;
limit_req_zone $binary_remote_addr zone=antiddos:10m rate=5r/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;
# Load config files from the /etc/nginx/conf.d directory
# The default server is in conf.d/default.conf
include /etc/nginx/conf.d/*.conf;
# Generated by iptables-save v1.4.7 on Thu Oct 31 19:28:02 2013
*nat
:PREROUTING ACCEPT [574:29810]
:POSTROUTING ACCEPT [754:45273]
:OUTPUT ACCEPT [754:45273]
COMMIT
# Completed on Thu Oct 31 19:28:02 2013
*mangle
:PREROUTING ACCEPT [26877:11439974]
:INPUT ACCEPT [26877:11439974]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [38169:39677567]
:POSTROUTING ACCEPT [38169:39677567]
*filter
:INPUT DROP [1:90]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [5232:5029829]
:ISPMGR - [0:0]
:LIMIT - [0:0]
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --dport 1500 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --dport 110 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22,21,80,1500,11211,25,110,443 -j ACCEPT
-A INPUT -p tcp ! -s 127.0.0.1 --dport 80 -j DROP
Вообщем печаль беда, мелкие атаки пропускало, а вот сегодня начали атаки побольше. Так как openVZ, ipset установить не удалось. Помогите как еще можно отбиться, может средствами nginx? Сайт грузиться но туго, вылетает 504 и так далее.---------- Добавлено 05.11.2013 в 18:28 ----------Mod Evasive - есть ли от него толк если у меня nginx для статики---------- Добавлено 05.11.2013 в 19:58 ----------Спасибо всем кто отозвался.
Поставил Nginx+GeoIP, закрыл доступ всем кроме стран бывшего совка и US, может кто-то подскажет как сделать исключение для поисковых ботов?
Да так и понял... пока ту писал еще пару страниц улетело.
Спасибо, но вот щас проблема в другом. После рестарта сервера слетают настройки
Короче знакомый пришел!
Вообщем заявление было подано еще в Июне месяце, рассмотрено только сейчас.
Суть заявления такова, прошу возбудить уголовное дело по поводу сайта блабла бла, администрация сайта не отвечает на мои письма и так далее. Он показал распечатку переписки с автором, ну и тут следствие зашло в тупик. Книга разумеется удалена уже, ну и следователь сказал сообщит о решении.
Подскажите а как в исключение добавить IP адреса гугла и яндекса.
iptables -I LIMIT -s 173.194.0.0/16 -m comment --comment \ "Return google SE ip range" -j RETURN
Выдает ошибку
А все правила можно очистить, а то я пока разбирался столько херни вбли туда
