ANNOUNCE: connlimit kernel pro RHEL3 (a klony)
Milan Keršláger
milan.kerslager na pslib.cz
Pátek Leden 14 12:37:40 CET 2005
Protoze pouzivam RHEL3 a jeho klony (Tao, CentOS, Whitebox) a postradal
jsem ucinnou obranu proti DoS na SMTP a HTTP servery (spyware,
downloadery a take kauza nasich studentu vuci externimu serveru),
pouzivam patchovane jadro s connlimit z patch-o-matic, viz:
http://www.netfilter.org/patch-o-matic/
Jadro mam nasazeno na nekolika serverech a rozhodl jsem se ho pouzivat
bezne (napr. Mandrake 10.1 ma connlimit v jadre primo) a proto jsem si
vyrobil balicky + repository.
Jadro potrebuje aktualizovane iptables, ktere jsou k dispozici take.
Balicek budu udrzovat, protoze ho sam pouzivam (do doby, nez bude
oficialni reseni od RH).
Pokud chcete vyzkouset, pridejte si nasledujici sekci do /etc/yum.conf a
provedte aktualizaci systemu:
[kernel-connlimit]
name=Testing kernel with connlimit patch
baseurl=ftp://ftp.pslib.cz/pub/users/Milan.Kerslager/RHEL-3/testing.connlimit/
ftp://ftp.vslib.cz/pub/local/milan.kerslager/RHEL-3/testing.connlimit/
ftp://ftp.linux.cz/pub/linux/people/milan_kerslager/RHEL-3/testing.connlimit/
Na adrese http://www.netfilter.org/patch-o-matic/pom-base.html najdete
priklady pravidel do iptables.
Jadro je pouzito z Tao klonu, protoze neobsahuje kernel-unsupported
(vsechno je v jednom baliku). Patch je neintruzivni (jenom jeden modul
navic), takze je to relativne bezpecne rozsireni (a jednoduche pro
prevzeti).
Z vlastni zkusenosti - nekdy se podari navazat vice spojeni najednou, i
kdyz existuje pravidlo pro omezeni. Podle meho je to v pripade, kdy se
navazuji spojeni zaroven a tim padem nejsou predchozi spojeni jeste
registrovana jako navazana. Obecne to nevadi, protoze to tak jako tak
udrzi pocet spojeni pod kontrolou. Komu by to vadilo, musel by tuto
kontrolu asi dat i do navazaneho spojeni (nekontrolovat tedy jen SYN).
To jsem ale nezkousel a netestoval chovani.
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/ke/
Další informace o konferenci Linux