Изпечатай

[SpiceFuse]

Здравейте '> Въпроса ми е относно сървър изграден на ClarkConnect.
В натовареното време ,кънекциите към сайта се вдигат над 600 ,стигат до 800-900 и сайта забива. По какъв начин може да се ограничат тези кънекции и да се лимитират до определен брой за IP ?
Повечето от кънекциите идват през портове 137,138,139

[VladSun]

man iptables
connlimit

'>

[SpiceFuse]

оказва се че ядрото не подържа този модул и нямам представа как се прави

[zeridon]

137,138,139,445 = samba

Т.е. ако нямаш виндовски машини или не искаш самбата да минава директно ги отрежи в PREROUTING

[SpiceFuse]

Това са някакви IP-та от лана, в който се намира сървъра.
Няма рутър за да ги отрежа.
Няма ли настройка в iptables за да се ограничат кънекциите от едно IP без да се прекомпилира ядрото ?

[kbanev]

Аз лично компилирах само модула за моето ядро без да го прекомпилирам цялото, но според мен е по-добре да си прекомпилираш ядрото за поддръжка на ipt_connlimit

[SpiceFuse]

Благодаря за съвета, приемам прекопилирането за крайна мярка, понеже сървъра не трябва да се спира  '>
Имам въпрос към zeridon : как да ги отрежа в PREROUTING ? Извинявам се предварително за глупавия въпрос, но съм на ниво начинаещ в областта.

ето снимка
http://img211.imageshack.us/img211/4051/floodipdc0.jpg

[zeridon]

примерно:

Примерен код

iptables -t mangle -A PREROUTING -p tcp --dport 137 -j DROP iptables -t mangle -A PREROUTING -p tcp --dport 138 -j DROP iptables -t mangle -A PREROUTING -p tcp --dport 139 -j DROP iptables -t mangle -A PREROUTING -p tcp --dport 445 -j DROP iptables -t mangle -A PREROUTING -p udp --dport 137 -j DROP iptables -t mangle -A PREROUTING -p udp --dport 138 -j DROP iptables -t mangle -A PREROUTING -p udp --dport 139 -j DROP iptables -t mangle -A PREROUTING -p udp --dport 445 -j DROP

Използва се таблицата mangle защото тя е първата в която влиза пакета и след това веднага е веригата PREROUTING.

Би било яко ако можеше да се ползва REJECT но за съжаление в тази таблица не може.