Re: iptables connection limit
Von: Michael Wulz (michael.wulz@siemens.com) [Profil]
Datum: 08.09.2008 16:57
Message-ID: <48c53d3c$0$26583$91cee783@newsreader01.highway.telekom.at>
Newsgroup: at.linux
Datum: 08.09.2008 16:57
Message-ID: <48c53d3c$0$26583$91cee783@newsreader01.highway.telekom.at>
Newsgroup: at.linux
On Fri, 05 Sep 2008 09:57:12 +0200, Alexander Griesser wrote: > Hallo! Hallo Alex, > Was ist falsch an dieser Regel? > > # Reject all clients that establish more than 50 connections at once > iptables -A INPUT -p tcp --syn -d $EXT_IP --dport 80 -m connlimit > --connlimit-above 50 -j REJECT > > Laut Theorie sollte die ja alle Clients blocken, die mehr als 50 > gleichzeitige Verbindungen zu meinem Port 80 offen haben. > > Tut es aber nicht, gestern war da jemand witzig und hatte 120 > Verbindungen offen bis ich ihn manuell anhand seiner IP Adresse geblockt > habe. > > Kernel: 2.6.26.3 > IPtables: 1.4.1.1 > > Sollte connlimit eigentlich beim Erreichen des Limits _ALLE_ > Verbindungen killen, oder nur alle ausser den ersten 50? > Kennst du: http://deflate.medialayer.com/ Dies ist ein Script welches über einen CronJob zyklisch abläuft und prüft wieviele gleichzeitige Verbindungen für den HTTP Service (port 80) aktuell existieren. Wenn dann eine Verbindung die vorher definierte Zahl überschreitet, dann wird diese Quell-IP über IP-Tables blockiert. Ich weiss, das Script ist nicht perfekt, funktioniert aber eigentlich ganz gut! gruss Michael[ Auf dieses Posting antworten ]
Antworten
- Alexander Griesser (09.09.2008 08:07)