Автор Тема: Защита на apache от F5 с iptables  (Прочетена 3989 пъти)

lqlqlq

  • Участник
  • *****
  • Публикации: 12
    • Профил
Защита на apache от F5 с iptables
« -: Mar 29, 2013, 10:59 »
Така, имам тази команда само:
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 6 --connlimit-mask 24 -j DROP
Която се подразбира, че реже кънекции над 6 от дадено IP, която работи безпроблемно, над нея имам:
iptables -I INPUT -p tcp --syn --dport 80 -m state --state NEW -j ACCEPT

Искам нещо подобно на Mod_evasive, но през иптаблици, защото evasive не работи под Prefork модула, а само на worker.
С hitcount не става, може би с някакъв стринг и ограничения към него, но не знам какъв точно трябва да е стринга.

Четох в интернет, има пример за блокване на POST трафика, ето и как:

iptables -I INPUT -d my_server_ip -p tcp --dport 80 -m string --string 'POST /' --algo bm -j DROP

Чакам вашите съвети, за над 5 рефреша - да DROP-ва.
Благодаря!
Активен

edmon

  • Гост
Re: Защита на apache от F5 с iptables
« Отговор #1 -: Mar 29, 2013, 17:02 »

Не може ли скрипта, който се изпълнява с рифреш-а да брои колко пъти е изпълнен за сесията например... :)
Активен

laskov

  • Участник
  • *****
  • Публикации: 2854
    • Профил
Re: Защита на apache от F5 с iptables
« Отговор #2 -: Mar 29, 2013, 17:20 »
Е добре. Да речем, че го направиш. На тези, които рефрешват (ако са хора), ще им се показва грешка "Времето за отговор от сървъра изтече." или нещо подобно с бутон "Опитай отново" или нещо подобно, което ще ги кара да мислят, че сървърът ти не работи.
Не те ли притеснява това, че клиентите ти ще си мислят, че сървърът не е надежден ?

PS1: Ако решиш да ми теглиш една майна - не се притеснявай - действай :)

PS2: И друго - аз не съм много наясно, но при рефреш не е задължително сървърът да прати отново цялата страница с всичките и елементи. Пробвай да рефрешваш например този форум и ще видиш колко време отнема, когато няма нови мнения.
« Последна редакция: Mar 29, 2013, 17:26 от laskov »
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

go_fire

  • Участник
  • *****
  • Публикации: 5314
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: Защита на apache от F5 с iptables
« Отговор #3 -: Mar 29, 2013, 17:25 »
A-a-a притеснително е. Според правилата се оказва, че не може да ругаеш дори себе си, камо ли някой друг  :P
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

lqlqlq

  • Участник
  • *****
  • Публикации: 12
    • Профил
Re: Защита на apache от F5 с iptables
« Отговор #4 -: Mar 29, 2013, 17:29 »
Хора, дайте някакъв метод, искам просто при много заявки с F5 да им спира кънекциите, не ме интересува какво ще си мислят за сървъра... Кой ги е карал да правят мизерии ?


PP: искам подобно нещо, защото при много такива фейк заявчици, cpu-то отива по-дяволите.
Активен

go_fire

  • Участник
  • *****
  • Публикации: 5314
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: Защита на apache от F5 с iptables
« Отговор #5 -: Mar 29, 2013, 17:32 »
В общи линии колегите се опитаха да обяснят, че идеята е много тъпа. А за помощ съжалявам, не мога да помогна, защото грам не разбирам от iptables.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

lqlqlq

  • Участник
  • *****
  • Публикации: 12
    • Профил
Re: Защита на apache от F5 с iptables
« Отговор #6 -: Mar 29, 2013, 17:33 »
За теб може да е тъпа, но аз знам какво искам и какво точно ми трябва, но не мога да измисля начин да си го направя.
Идеята е, че няма да се товари процесора по-този начин.
Иначе други защити от syn tcp флууд си имам. Просто искам и това да оправя, за да ми е по-сигурно.
Активен

laskov

  • Участник
  • *****
  • Публикации: 2854
    • Профил
Re: Защита на apache от F5 с iptables
« Отговор #7 -: Mar 29, 2013, 17:38 »
Ами намали броя на httpd процесите.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

lqlqlq

  • Участник
  • *****
  • Публикации: 12
    • Профил
Re: Защита на apache от F5 с iptables
« Отговор #8 -: Mar 29, 2013, 17:43 »
Не мисля, че това ще е това което ми трябва, но можеш ли да дадеш пример, как да го направя?
Благодаря!
Активен

vox

  • Участник
  • *****
  • Публикации: 147
  • Distribution: HP-UX, Solaris, AIX
  • Window Manager: console only
  • #!/bin/ksh
    • Профил
Активен

No Windows, no Gates only apache inside

lqlqlq

  • Участник
  • *****
  • Публикации: 12
    • Профил
Re: Защита на apache от F5 с iptables
« Отговор #10 -: Mar 29, 2013, 19:55 »
@vox - Прочети първия ми пост.
Активен

edmon

  • Гост
Re: Защита на apache от F5 с iptables
« Отговор #11 -: Mar 29, 2013, 21:50 »
понеже не казваш какво се изпълнява при рилоудъ предполагам, че е някаква простотия:)))
Активен

vox

  • Участник
  • *****
  • Публикации: 147
  • Distribution: HP-UX, Solaris, AIX
  • Window Manager: console only
  • #!/bin/ksh
    • Профил
Re: Защита на apache от F5 с iptables
« Отговор #12 -: Mar 29, 2013, 22:11 »
@vox - Прочети първия ми пост.

Правилно, чел не дочел съм!
Активен

No Windows, no Gates only apache inside

Ali Nebi

  • Участник
  • *****
  • Публикации: 394
  • Distribution: Centos, Debian, Fedora, Ubuntu
  • Window Manager: Gnome
    • Профил
Re: Защита на apache от F5 с iptables
« Отговор #13 -: Mar 29, 2013, 22:29 »
Аз съм ползвал mod_evasive с prefork и си работеше без проблем. Може да пробваш на тестова машина или на същия сървър само за определен сайт. Пусни му тестове и ще видиш дали има резултат, но до колкото си спомням си работеше без проблем.

PS: http://shebangme.blogspot.com/2009/09/modevasive-howto-step-by-step.html (инфо за компилация за prefork)
Активен

Не се задоволявай да бъдеш дим, когато можеш да бъдеш огън!

ircn

  • Участник
  • *****
  • Публикации: 26
    • Профил
Re: Защита на apache от F5 с iptables
« Отговор #14 -: Mar 30, 2013, 10:58 »
Това което искаш може да стане с iplimit модула на iptables
http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html
3.5 iplimit patch

This patch by Gerd Knorr <kraxel@bytesex.org> adds a new match that will allow you to restrict the number of parallel TCP connections from a particular host or network.

For example, let's limit the number of parallel HTTP connections made by a single IP address to 4 :

    # iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJECT

    # iptables --list
    Chain INPUT (policy ACCEPT)
    target   prot opt source    destination         
    REJECT   tcp  --  anywhere  anywhere     tcp dpt:http flags:SYN,RST,ACK/SYN #conn/32 > 4 reject-with icmp-port-unreachable

Or you might want to limit the number of parallel connections made by a whole class A for example :

    # iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-mask 8 --iplimit-above 4 -j REJECT

    # iptables --list
    Chain INPUT (policy ACCEPT)
    target   prot opt source    destination         
    REJECT   tcp  --  anywhere  anywhere     tcp dpt:http flags:SYN,RST,ACK/SYN #conn/8 > 4 reject-with icmp-port-unreachable

Supported options for the iplimit patch are :

[!] --iplimit-above n

    -> match if the number of existing tcp connections is (not) above n
--iplimit-mask n

    -> group hosts using mask
« Последна редакция: Mar 30, 2013, 11:00 от ircn »
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
iptables
Настройка на програми
dumdum 2 1659 Последна публикация May 03, 2003, 17:00
от
iptables
Настройка на програми
ivanatora 16 5944 Последна публикация May 25, 2003, 11:34
от mtab
iptables
Настройка на програми
Danakich 1 1813 Последна публикация Jul 30, 2003, 14:50
от ShAnTaV
iptables???
Настройка на програми
spooky 0 1310 Последна публикация Nov 15, 2003, 15:10
от spooky
Въпросчета за apache background и iptables
Настройка на програми
rootbox 9 2225 Последна публикация Jul 23, 2008, 15:57
от teh