Титла: Кънекции към сървър
Публикувано от: SpiceFuse в Oct 05, 2007, 00:10
Здравейте 
Въпроса ми е относно сървър изграден на ClarkConnect.
В натовареното време ,кънекциите към сайта се вдигат над 600 ,стигат до 800-900 и сайта забива. По какъв начин може да се ограничат тези кънекции и да се лимитират до определен брой за IP ?
Повечето от кънекциите идват през портове 137,138,139
Въпроса ми е относно сървър изграден на ClarkConnect. В натовареното време ,кънекциите към сайта се вдигат над 600 ,стигат до 800-900 и сайта забива. По какъв начин може да се ограничат тези кънекции и да се лимитират до определен брой за IP ?
Повечето от кънекциите идват през портове 137,138,139
Титла: Кънекции към сървър
Публикувано от: VladSun в Oct 05, 2007, 00:14
man iptables
connlimit
connlimit
Титла: Кънекции към сървър
Публикувано от: SpiceFuse в Oct 05, 2007, 00:47
оказва се че ядрото не подържа този модул и нямам представа как се прави
Титла: Кънекции към сървър
Публикувано от: zeridon в Oct 05, 2007, 09:49
137,138,139,445 = samba
Т.е. ако нямаш виндовски машини или не искаш самбата да минава директно ги отрежи в PREROUTING
Т.е. ако нямаш виндовски машини или не искаш самбата да минава директно ги отрежи в PREROUTING
Титла: Кънекции към сървър
Публикувано от: SpiceFuse в Oct 07, 2007, 19:18
Това са някакви IP-та от лана, в който се намира сървъра.
Няма рутър за да ги отрежа.
Няма ли настройка в iptables за да се ограничат кънекциите от едно IP без да се прекомпилира ядрото ?
Няма рутър за да ги отрежа.
Няма ли настройка в iptables за да се ограничат кънекциите от едно IP без да се прекомпилира ядрото ?
Титла: Кънекции към сървър
Публикувано от: kbanev в Oct 07, 2007, 23:16
Аз лично компилирах само модула за моето ядро без да го прекомпилирам цялото, но според мен е по-добре да си прекомпилираш ядрото за поддръжка на ipt_connlimit
Титла: Кънекции към сървър
Публикувано от: SpiceFuse в Oct 08, 2007, 15:33
Благодаря за съвета, приемам прекопилирането за крайна мярка, понеже сървъра не трябва да се спира 
Имам въпрос към zeridon : как да ги отрежа в PREROUTING ? Извинявам се предварително за глупавия въпрос, но съм на ниво начинаещ в областта.
ето снимка
http://img211.imageshack.us/img211/4051/floodipdc0.jpg
Имам въпрос към zeridon : как да ги отрежа в PREROUTING ? Извинявам се предварително за глупавия въпрос, но съм на ниво начинаещ в областта.
ето снимка
http://img211.imageshack.us/img211/4051/floodipdc0.jpg
Титла: Кънекции към сървър
Публикувано от: zeridon в Oct 08, 2007, 16:00
примерно:
Използва се таблицата mangle защото тя е първата в която влиза пакета и след това веднага е веригата PREROUTING.
Би било яко ако можеше да се ползва REJECT но за съжаление в тази таблица не може.
| Примерен код |
| iptables -t mangle -A PREROUTING -p tcp --dport 137 -j DROP iptables -t mangle -A PREROUTING -p tcp --dport 138 -j DROP iptables -t mangle -A PREROUTING -p tcp --dport 139 -j DROP iptables -t mangle -A PREROUTING -p tcp --dport 445 -j DROP iptables -t mangle -A PREROUTING -p udp --dport 137 -j DROP iptables -t mangle -A PREROUTING -p udp --dport 138 -j DROP iptables -t mangle -A PREROUTING -p udp --dport 139 -j DROP iptables -t mangle -A PREROUTING -p udp --dport 445 -j DROP |
Използва се таблицата mangle защото тя е първата в която влиза пакета и след това веднага е веригата PREROUTING.
Би било яко ако можеше да се ползва REJECT но за съжаление в тази таблица не може.