Limit poctu spojeni
Dalibor Straka
dast na panelnet.cz
Pondělí Březen 12 23:46:13 CET 2007
Ahoj,
On Mon, Mar 12, 2007 at 08:45:31PM +0000, kopecek na centrum.cz wrote:
> Ano, presne tak, ale neni reseni vyprazdnovat tabulku pomoci "conntrack",
> protoze tim uriznu i to co nechci. Potrebuji neco, cim reknu napr. limit
> je 100 connections na jednu IP a dal uz se o to nestarat...
>
man 8 iptables:
connlimit
Allows you to restrict the number of parallel TCP
connections to a server per client IP address (or address block).
iptables -A INPUT -p tcp --syn --dport 23 -m connlimit \
--connlimit-above 2 -j REJECT
Pokud nemate z nejakeho duvodu nejnovejsi kernel, hledejte obdobne
patche (limit connections per IP):
http://lists.netfilter.org/pipermail/netfilter-devel/2000-November/000190.html
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --syn -m iplimit --iplimit 8 -j DROP
Pomaham u jednoho ISP a tam jsme vyhradili router jako zvlastni
zarizeni, ktere nedela NAT ani jine nepekne veci. Maximalne provadi
zakladni firewalling. Na firewallu se skutecne jenom firewalluje
a NATovaci stroje jsou vyhrazene pro jiste segmenty. Sluzba
s neverejnou IP je o 50Kc levnejsi a mezi jeji dalsi (ne)vyhody
patri omezeni odesilani posty pouze na nas smtp.
- zadne presmerovani portu
- zadne ip_conntrack moduly
Kdo chce, priplati si 50Kc, dostane verejnou IP a opet je po
starostech. Routeru nevadi stovky tisic pripojeni a jako bonus se
identifikuje v celem internetu jeho vlastni IP.
-- Dalibor Straka
Další informace o konferenci Linux