Изпечатай

[st_dimitrov]

... компилирах ядрото 2.6.16.9, connlimit ttl  и останалите части от пач-о-матик ги компилирах като модули... ТТЛ-а работи супер, но connlimit....

# iptables -A FORWARD  -p tcp --syn --dport 80 -m connlimit --connlimit-above 50 -j REJECT

iptables: No chain/target/match by that name

# iptables -t nat -A PREROUTING -i eth0 -p tcp --syn --dport http -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset
iptables: No chain/target/match by that name

бъркам ли някъде ?! Можете ли да ме насочите къде може да е проблема, че нещо само с моите сили не се получава...

[Explisit]

И аз имам подобен пробем. Това което мога да ти предложа е да видип дали се зарежда модула ipt_limit (мисля че този беше) и можеш да видиш дали всичко е наред с connlimit с
iptables -m connlimit -h (по точно дали е сложен и коя версия) е  , а и в един друг форум ме посъветваха за iptables -t filter но не съм пробвал все още.

iptables -t filter -A OUTPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 50 -j REJECT

И ако тръгне ще сам благодарен да кажеш как '>

[VladSun]

в

cat /proc/net/ip_tables_matches

има ли го connlimit?

[st_dimitrov]

Не, няма го   Какво следва от това ?

 iptables -m connlimit
iptables v1.3.3: You must specify `--connlimit-above'
Try `iptables -h' or 'iptables --help' for more information.


в хелпа му има


connlimit v1.3.3 options:
[!] --connlimit-above n         match if the number of existing tcp connections is (not) above n
 --connlimit-mask n             group hosts using mask


......

[VladSun]

нямаш го като зареден модул

пробвай
modprobe ipt_connlimit

и пак провери.

Макар, че честно казано, ако си се опитал да го ползваш, то iptables е трябвало да го зареди ...
Т.е. най-вероятно нещо не си компилирал/пачвал както  трябва.

[VladSun]

Цитат (Explisit @ Април 19 2006,15:02)

И аз имам подобен пробем. Това което мога да ти предложа е да видип дали се зарежда модула ipt_limit (мисля че този беше) и можеш да видиш дали всичко е наред с connlimit с iptables -m connlimit -h (по точно дали е сложен и коя версия) е  , а и в един друг форум ме посъветваха за iptables -t filter но не съм пробвал все още. iptables -t filter -A OUTPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 50 -j REJECT И ако тръгне ще сам благодарен да кажеш как '>

Модулът е ipt_connlimit и няма смисъл от добавянето на -t filter, защото това е таблицата по подразбиране (т.е. със или без е все тая '>)

[st_dimitrov]

:/ не намира модула, а го има в хелпа ?! :/ къде може да съм омотал компилацията?

ядрото е 2.6 така че не съм го пачвал с пач-о-матик. Има ли нужда?

edit: хмм...

patch-o-matic:

./runme TTL

Welcome to Patch-o-matic (1.17)!

Kernel:   2.6.16, /usr/src/linux
Iptables: 1.3.5, /usr/src/iptables
Each patch is a new feature: many have minimal impact, some do not.
Almost every one has bugs, so don't apply what you don't need!
-------------------------------------------------------
Already applied:

Testing TTL... applied

Excellent! Source trees are ready for compilation.


./runme connlimit

Welcome to Patch-o-matic (1.17)!

Kernel:   2.6.16, /usr/src/linux
Iptables: 1.3.5, /usr/src/iptables
Each patch is a new feature: many have minimal impact, some do not.
Almost every one has bugs, so don't apply what you don't need!
-------------------------------------------------------
Already applied:

Testing connlimit... not applied
The connlimit patch:
   Author: Gerd Knorr <kraxel@bytesex.org>
   Status: ItWorksForMe[tm]

This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).

Examples:

# allow 2 telnet connections per client host
iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

# you can also match the other way around:
iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT

# limit the nr of parallel http requests to 16 per class C sized
# network (24 bit netmask)
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 \
        --connlimit-mask 24 -j REJECT
-----------------------------------------------------------------
Do you want to apply this patch [N/y/t/f/a/r/b/w/q/?] Y
unable to find ladd slot in src /usr/src/linux/net/ipv4/netfilter/Makefile
-----------------------------------------------------------------
Do you want to apply this patch [N/y/t/f/a/r/b/w/q/?]    

има нещо гнило в цялата работа.... от тук накъде  VladSun?

[VladSun]

Мдам, има нещо нередно '>
Лошото е, че аз такова съобщение за пръв път виждам '>
Пробвай да пачваш на "прясна" /usr/src/linux директория (след разархивиране) и с най-новите версии на ПОМ и iptables

[st_dimitrov]

гледам нова версия на ядрото излязло даже... сега ще видим.

значи разархивирам ядрото, иптейбълс и пом.

пускам пом да пачне сорса, компилирам иптейбълс-а, след него ядрото... да видим резултата '>

[st_dimitrov]

... реших да пробвам нещо друго '> свалих последния снапшот на пом, същата работа '>

'пачнах' на ръка '>

cp patchlets/connlimit/linux/* ../linux/ -R
cp ./patchlets/connlimit/linux-2.6.11/* -R ../linux/
cat patchlets/connlimit/linux-2.6.11/net/ipv4/netfilter/
Makefile.ladd >> /usr/src/linux/net/ipv4/netfilter/Makefile

root@darkstar:/usr/src/patch-o-matic-ng-20060418# ./runme connlimit
Hey! KERNEL_DIR is not set.
Where is your kernel source directory? [/usr/src/linux]
Hey! IPTABLES_DIR is not set.
Where is your iptables source code directory? [/usr/src/iptables]
Loading patchlet definitions......................................................... done

Welcome to Patch-o-matic ($Revision: 6577 $'>!

Kernel:   2.6.16, /usr/src/linux
Iptables: 1.3.5, /usr/src/iptables
Each patch is a new feature: many have minimal impact, some do not.
Almost every one has bugs, so don't apply what you don't need!
-------------------------------------------------------
Already applied:

Testing connlimit... not applied
The connlimit patch:
   Author: Gerd Knorr <kraxel@bytesex.org>
   Status: ItWorksForMe[tm]

This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).

Examples:

# allow 2 telnet connections per client host
iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

# you can also match the other way around:
iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT

# limit the nr of parallel http requests to 16 per class C sized
# network (24 bit netmask)
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 \
        --connlimit-mask 24 -j REJECT
-----------------------------------------------------------------
Do you want to apply this patch [N/y/t/f/a/r/b/w/q/?] y

Excellent! Source trees are ready for compilation.

root@darkstar:/usr/src/patch-o-matic-ng-20060418#    

така.. пуснах make menuconfig и ми излезе Connections/IP limit match support  най-долу във  Networking -> Networking options -> Network packet filtering (replaces ipchains) -> IP: Netfilter Configuration


'> Компилирах модулите и сега не плюе грешка когато през иптаблес задам лимита '> Да видим действа ли '> ВладСън благодаря ти, че се включи.