Автор Тема: Може ли малко хелп за ограничение на конекцйите  (Прочетена 710 пъти)

jaredharet

  • Напреднали
  • *****
  • Публикации: 16
    • Профил
Може ли малко хелп за ограничение на конекцйите
« -: Mar 07, 2006, 23:52 »
За да огранича конекциите с iptables използвам това

Примерен код
iptables -t mangle -A POSTROUTING -p tcp -s 192.168.1.2 -m connlimit --connlimit-above 30 -j DROP


Но нещо май не се държи както трябва има доста лаг и не винаги отваря страниците отпървия път
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Може ли малко хелп за ограничение на конекцйите
« Отговор #1 -: Mar 08, 2006, 01:54 »
Примерен код
iptables -p tcp --syn -s 192.168.1.2 -m connlimit --connlimit-above 30 -j REJECT


man iptables
Активен
KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

vladi4ko

  • Напреднали
  • *****
  • Публикации: 36
    • Профил
Може ли малко хелп за ограничение на конекцйите
« Отговор #2 -: Mar 08, 2006, 02:25 »
iptables -A INPUT -i eth1 -p tcp --syn --dport 80 -m connlimit --connlimit-above 1 -j REJECT --reject-with tcp-reset
може да ползваш и tcp-reset защото като презареждаш правилата на ново и да се появи нова конекция само с реджект не винаги ги режектва поне от тестовете дето съм си правил за мене
ще се наложи и да прекомпилираш кернела за модула

Примерен код
не винаги отваря страниците отпървия път

напълно нормално

това с каква цел искаш да го правиш
преди 2 години имах голям мерак и като разбрах как се прави мерака ми мина да го ползвам '<img'>

малко извън темата кое е по добро да се ползва
DROP, REJECT и кадето може --reject-with tcp-reset
като се има предвид че често презареждам правилата на iptables
Активен

jaredharet

  • Напреднали
  • *****
  • Публикации: 16
    • Профил
Може ли малко хелп за ограничение на конекцйите
« Отговор #3 -: Mar 08, 2006, 18:11 »
Цитат (vladi4ko @ Март 08 2006,03:25)
iptables -A INPUT -i eth1 -p tcp --syn --dport 80 -m connlimit --connlimit-above 1 -j REJECT --reject-with tcp-reset
може да ползваш и tcp-reset защото като презареждаш правилата на ново и да се появи нова конекция само с реджект не винаги ги режектва поне от тестовете дето съм си правил за мене
ще се наложи и да прекомпилираш кернела за модула

Примерен код
не винаги отваря страниците отпървия път

напълно нормално

това с каква цел искаш да го правиш
преди 2 години имах голям мерак и като разбрах как се прави мерака ми мина да го ползвам '<img'>

малко извън темата кое е по добро да се ползва
DROP, REJECT и кадето може --reject-with tcp-reset
като се има предвид че често презареждам правилата на iptables

Ами понеже забива ADSL модема заради големия брой конекций

А иначе ptables ми е версия 1.3.4-20060123 дали ще трябва да се компилира на ново.

И ако имаш друго решение на проблема с големия брой конекции

А междо другото примерът ти не е ли само за порт 80. До като на мен ми трябва за всички портове
Активен