Portál AbcLinuxu, 27. dubna 2024 04:42


Dotaz: Firewall a pocet spojeni

23.3.2005 11:38 Martin
Firewall a pocet spojeni
Přečteno: 248×
Odpovědět | Admin 
Zdravim, mam na firewallu nastaven tento limit :
-m limit --limit 1/s --limit-burst 15
Ale posledni dobou se mi zda, ze se  obcas klienti nemuzou pripojit, tet nevim, jestli je to limit pro jednu ip, nebo celkovy limit, a neim, jestli je to tim, mam to nastaveen cele takto:
# Syn Flood ochrana
$IPT -N syn_flood
$IPT -A INPUT -i eth0 -p TCP --syn -j syn_flood
$IPT -A syn_flood -m limit --limit 1/s --limit-burst 15 -j RETURN
$IPT -A syn_flood -j DROP

# Ping of Death (moc icmp - zadosti o ping) -limit 5 za sekundu
$IPT -A INPUT -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s --l\
imit-burst 5 -j ACCEPT
$IPT -A INPUT -p ICMP -i eth0 -j DROP
Muze neco z toho omezovat spojeni klientu ?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

23.3.2005 11:47 jm
Rozbalit Rozbalit vše Re: Firewall a pocet spojeni
Odpovědět | | Sbalit | Link | Blokovat | Admin
Muze neco z toho omezovat spojeni klientu ?
Samozrejme. Na omezovani TCP SYN konexi pres iptables bych se uplne vykaslal. Pokud je to opravdu nutne, tak zakompilovat podporu syncookies do jadra a do /etc/sysctl.conf pridat: 
net.ipv4.tcp_syncookies = 1
P.S. Nepiste cely dotaz do PRE tagu.
23.3.2005 11:54 iji | skóre: 29
Rozbalit Rozbalit vše Re: Firewall a pocet spojeni
Odpovědět | | Sbalit | Link | Blokovat | Admin
a) timto osetrujete pouze situaci proti prilis aktivnimu pouziti pingu.
pro omezeni poctu konexi byc pouzil connlimit patch z pom.
b) tag pre volte rozumneji, vas text leze "za roh"
23.3.2005 12:11 jm
Rozbalit Rozbalit vše Re: Firewall a pocet spojeni
Ad a/ Ale vubec ne, a v tom je problem - omezuje pocet SYN konexi.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.