3
|
Сигурност / Системна Сигурност / Re: Защита на apache от F5 с iptables
|
-: Mar 30, 2013, 18:34
|
Нещо си в грешка със заменките. connlimit - лимитира глобалните конекции. iplimit - лимитира конекциите за съответното ип от което идват заявките. Ако си чел щеше да ти е ясно, то си е написано. Ако нямаш модула по подразбиране в дистрибуцията която ползваш трябва да пачваш кернела с patch-o-matic и да го прекомпилираш, а също и прекомпилиране на iptables. http://netfilter.org/projects/patch-o-matic/ обаче гледам, че вече не се поддържа този проект, а е заменен от Engelhardt's xtables-addons. Xtables-addons is the successor to patch-o-matic(-ng). Likewise, it contains extensions that were not, or are not yet, accepted in the main kernel/iptables packages. http://xtables-addons.sourceforge.net/Знам, че работи защото съм го правил. Даже мисля, че в slackware по подразбиране го има модула iplimit, но както казах зависи от дистрибуцията и нейната политика какво да бъде включено. Ако ти не можеш да си пачнеш и компилираш ядрото, това е друго нещо, а не че това което ти казвам няма да ти свърши работа.
|
|
|
4
|
Сигурност / Системна Сигурност / Re: Защита на apache от F5 с iptables
|
-: Mar 30, 2013, 10:58
|
Това което искаш може да стане с iplimit модула на iptables http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html3.5 iplimit patch This patch by Gerd Knorr < kraxel@bytesex.org> adds a new match that will allow you to restrict the number of parallel TCP connections from a particular host or network. For example, let's limit the number of parallel HTTP connections made by a single IP address to 4 : # iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJECT # iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination REJECT tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN #conn/32 > 4 reject-with icmp-port-unreachable Or you might want to limit the number of parallel connections made by a whole class A for example : # iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-mask 8 --iplimit-above 4 -j REJECT # iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination REJECT tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN #conn/8 > 4 reject-with icmp-port-unreachable Supported options for the iplimit patch are : [!] --iplimit-above n -> match if the number of existing tcp connections is (not) above n --iplimit-mask n -> group hosts using mask
|
|
|
5
|
Linux секция за начинаещи / Настройка на програми / Re: Въпрос за --limit-burst в iptables
|
-: May 21, 2012, 19:10
|
Не си го разбрал правилно.
iptables -A INPUT -p ICMP -icmp-type echo-request \ -m limit -limit 1/minute -limit-burst 5 -j ACCEPT
-limit 1/minute will do what it says; it will only match for a rate of incoming packets up to an average of 1 per minute. The operative word here is average. So, does this mean that the first ping request you get will be accepted, then none for a whole minute? Not quite.
-limit-burst 5 tells iptables to let 5 such packets in before permitting the rule to match; so, in one minute, we can have 5 ping requests popping through. So, -limit 1/minute permits a maximum of 1 packet per minute on average, but -limit-burst 5 permits 5 in one shot. Have we found a logical error in iptables? No you silly clod, remember, -limit stes a limit on average, whereas -limit-burst limits by number of packets in one go. What will happen then in our example?
The firewall will let the first 5 packets in in the first minute, thanks to -limit-burst 5; this means, however, that the packets/minute now is 5, so any further packets are blocked until packets/minute = 1, i.e. 5 minutes later. In the sixth minute, packets/minute will be 5/6 < 1, so another ping request will be let in. When the extra ping request is admitted, the ratio becomes 6/6 = 1 again, and packets are DROPped again until the next minute. Again, average is the operative word.
|
|
|
7
|
Linux секция за напреднали / Хардуерни и софтуерни проблеми / Re: Настройки на IP Tables
|
-: Nov 21, 2011, 00:56
|
Значи като имаш -j DROP дропваш всичко в съответната верига. Ти пишеш -j ACCEPT port 25 примерно и това важи за идващите пакети във FORWARD веригата независимо от кой интерфейс eth0 или eth1. Само, че ако ETH0 ти е външния и има заявка на порт 25 то пакета ще мине като пристигащ ама като се връща ще се върне през друг порт който не е отворен. За това ти трябва или да разрешиш -i eth1 -o eth0 -j ACCEPT за да може трафика който се връща независимо от кой порт да се приема. Другия вариант е ESTABLISHIED, RELATED -j ACCEPT и готово.
|
|
|
8
|
Linux секция за начинаещи / Настройка на програми / Re: Ограничаване на download скороста и процесорното време на WEB server?
|
-: Sep 18, 2011, 09:38
|
И специално за вашето добро настроение на масата се качва да Ви играе: Bandwidth Mod GeSHi (Bash): apt-get install libapache2-mod-bw
Виж също в /usr/share/doc/libapache2-mod-bw по-детаилна информация за възможностите на модула. 4.- Examples 4.1 - Misc examples Limit every user to a max of 10Kb/s on a vhost : <Virtualhost *> BandwidthModule On ForceBandWidthModule On Bandwidth all 10240 MinBandwidth all -1 Servername http://www.example.com </Virtualhost> Limit al internal users (lan) to 1000 kb/s with a minimum of 50kb/s , and files greater than 500kb to 50kb/s. <Virtualhost *> BandwidthModule On ForceBandWidthModule On Bandwidth all 1024000 MinBandwidth all 50000 LargeFileLimit * 500 50000 Servername http://www.example.com </Virtualhost> Limit avi and mpg extensions to 20kb/s. <Virtualhost *> BandwidthModule On ForceBandWidthModule On LargeFileLimit .avi 1 20000 LargeFileLimit .mpg 1 20000 Servername http://www.example.com </Virtualhost> Using it the "right" way, with output filter by mime type (for text) to 5kb/s: <Virtualhost *> BandwidthModule On AddOutputFilterByType MOD_BW text/html text/plain Bandwidth all 5000 Servername http://www.example.com </Virtualhost>
|
|
|
9
|
Хумор, сатира и забава / Живота, вселената и някакви други глупости / Re: В БАН май си нямат работа.....
|
-: Aug 28, 2011, 15:48
|
Според мен е прав, че си фанатик. Точно пък с теб ще тръгне да се занимава някой от БАН, понеже разбираш ли ти си някакъв от ранга им там. Всичките ти обяснения до тук говорят само колко си озлобен. Ако се загледаш ще видиш, че човека първия път е бил от един хост, а втория от друг на който е имало инсталиран ref control. Обаче в твоята фантазия урок щял да ти дава, че си много учен. И вместо да пишеш насам-натам, по-добре прочети малко детски книжки.
|
|
|
10
|
Нетехнически теми / Предложения за български проект / Re: Безплатен Шел хостинг
|
-: Aug 21, 2011, 16:08
|
http://wiki.fragaholics.de/index.php/EN:Linux_Kernel_OptimizationАми просто hlds се предлага само в бинарен вид за линукс. За да изпозваш тези бинарни файлове трябва да пуснеш емулацияta във фреебсд. Цялата работа е, че с такива врътки и дума не може да става за оптимизация защото под линукс оптимизацията за цс сървърите се прави на ниво кернел. https://rt.wiki.kernel.org/index.php/Main_Pageили http://zen-kernel.org/Не, че няма да работи и иначе, тъй като по принцип до 950фпс може да се достигне и без пачове, но когато се предлага нещо на някакво високо ниво, не се правят компромиси. WHY HIGHER FPS? The key reason to run higher FPS is the render time. At 1000FPS, the server is rendering one frame every 1 millisecond (ms). This means that the worst-case adder to the player ping is only 1ms, IE: the player gets more accurate data and can get it more often. At 300FPS it's only 3ms which is perfectly acceptable, but at 100FPS it's 10ms, which is a significant percentage of a 100 ping (10%). A player with a 100 ping would actually be getting 110ms response time from the server. Many AMD systems will only run 60FPS without the ping booster which is 17ms. This is still not too significant but it can change the feel and response time of your server for players. Without the FPS Boost your server will use significantly less CPU but accuracy may suffer.
|
|
|
11
|
Нетехнически теми / Предложения за български проект / Re: Безплатен Шел хостинг
|
-: Aug 20, 2011, 22:46
|
...изтрито... Това, че не си взел домей показва колко са ти сериозни намеренията както и факта, че от фреебсд изведнъж дистрибуцията стана центос. ...изтрито... Системите които мислиш да реализираш бяха на мода до преди 6 години ...изтрито... ИРЦ отдавна умря за да се интересува някой от бнц-та, а колкото до цс сървърите точно под фреебсд нищо няма да реализираш защото като видят смешния фпс с който ще върви сървъра ...изтрито...
Редактирано, съгласно т. 6 от Правилата на форума. bop_bop_mara
|
|
|
12
|
Хардуер за Линукс / Сървъри / Re: Как се филтрира UDP Flood под Linux ?
|
-: Jul 29, 2011, 02:58
|
ip route add blackhole 192.168.32.128/32 192.168.32.128 го заменяш с ип адреса на атакуващия, ако въобще е един. http://en.wikipedia.org/wiki/Null_routeДиагностика на мрежата се прави с tcpdumpФаерлоуа под Линукс се казва iptablesiptables -A INPUT -s 192.168.32.128 -j DROP Това е другия вариант да филтрираш пакетите от въпросното ип, но не ти го препоръчвам защото при по-голям флууд ще ти се натовари много системата. Изполвай първия вариант. Всъщност най-добре е да не правиш нищо защото не си ти човека който трябва да извърши филтрациите. Твоята връзка гаранция няма да е достатъчна за да издържиш на въпросния флууд. Варианта е да се разбереш с доставчика, те да те предпазят тъй като всякакви други школовки са безмислени. Намери из сайта четиво как да си задаваш въпросите така, че да не го обръщат хората на шега, а да те взимат на сериозно. Не че аз съм го чел, но ти определено имаш нужда.
|
|
|
13
|
Хардуер за Линукс / Сървъри / Re: Колокация на сървър
|
-: May 16, 2011, 20:48
|
А бе момче. Ти четеш ли какво ти се пише ? Пак колокацията гледаш, а погледна ли наетите сървъри. И не! Уловки няма защото им ползвам услугите и съм убеден, че ще останеш повече от доволен, ако говорим за нает сървър. Иначе, ако уловка викаш на това което ясно е написано в характеристиката ... добре.
|
|
|
|