Limit poctu spojeni
Michal Rybarik
michal.rybarik na ecce.sk
Úterý Březen 13 00:54:48 CET 2007
Zdravim,
> man 8 iptables:
> connlimit
> Allows you to restrict the number of parallel TCP
> connections to a server per client IP address (or address block).
> iptables -A INPUT -p tcp --syn --dport 23 -m connlimit \
> --connlimit-above 2 -j REJECT
>
> Pokud nemate z nejakeho duvodu nejnovejsi kernel, hledejte obdobne
> patche (limit connections per IP):
> http://lists.netfilter.org/pipermail/netfilter-devel/2000-November/000190.html
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p tcp --syn -m iplimit --iplimit 8 -j DROP
>
>
V popise k tejto funkcii sa pise, ze je to na ochranu serveru pred DoS
utokmi od klientov, otvorenim obrovskeho poctu spojeni od jedneho
klienta, cim serveru vyzerie zdroje... Napokon to vyplyva aj z tohto
prikladu, kedze sa to filtruje na INPUTe a pre konkretny port (23)..
Naviac je to ked dobre rozumiem viazane na TCP, ked som hladal docs,
neprisiel som na to ze by sa tym dali filtrovat aj UDP alebo ICMP
spojenia, ktorymi sa ale conntrack routra da vyzrat zachvilu, jednym
dobre mierenym nmap-om... Myslite ze to je dostacujuce?
M.R.
Další informace o konferenci Linux