Hi,
Ich würde gerne mit iptables die anzahl der Verbindungen pro remote User/IP limitieren.
das normale --limit scheint ja pauschal zu sein.
c'ya
Indiana
Verbindungen Limitieren
Re: Verbindungen Limitieren
Magst du dein Konzept mal näher erläutern? Ich glaube nämlich, dass das keine gute Idee wäre, wenn beispielsweise jemand gleichzeitig auf einer Webseite auf deinem Server mit vielen Bildern surft, seine Mails abruft und Dateien hochlädt.
Re: Verbindungen Limitieren
Ich will meine Dienste nur vor DoS schützen.
Klar geht das mit iptables nicht wirklich effektive, aber z.b. wenn jemand 100 apache sessions offen hält hätte ich gerne das er "gekicked" wird und diese wieder für jemanden frei wird der ernstaft was will.
Und die sorge das dann wer gekickt wird der kein DoS vor hat habe ich nicht da z.b. IE max 4 - 10 connects pro IP zulästz (bei FireFox weis ich gerade nicht wieviele es sind).
pop3/imap2 ist bereits auf 10 pro ip (courier) limitiert.
Klar geht das mit iptables nicht wirklich effektive, aber z.b. wenn jemand 100 apache sessions offen hält hätte ich gerne das er "gekicked" wird und diese wieder für jemanden frei wird der ernstaft was will.
Und die sorge das dann wer gekickt wird der kein DoS vor hat habe ich nicht da z.b. IE max 4 - 10 connects pro IP zulästz (bei FireFox weis ich gerade nicht wieviele es sind).
pop3/imap2 ist bereits auf 10 pro ip (courier) limitiert.
Re: Verbindungen Limitieren
Ein Paketfilter ist da nicht das richtige Werkzeug. Schau Dir mal mod_evasive (http://www.zdziarski.com/projects/mod_evasive/) an, das hilft Dir vielleicht weiter. Alternativ kannst Du Dich mit dem Thema Traffic Shaping / QoS / Packet Scheduling auseinandersetzen. Unter BSD geht das mit ALTQ, wie das Linux-Pendant dazu heißt, weiß ich nicht 8)
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Verbindungen Limitieren
Die "einfache" Variante mit tc. Nettes Howto dazu gibts unter http://lartc.org/ (kennt das wirklich jemand noch nicht?).jfreund wrote:Unter BSD geht das mit ALTQ, wie das Linux-Pendant dazu heißt, weiß ich nicht 8)
Re: Verbindungen Limitieren
Für Apache gibt's auch mod_cband, nur fällt mir gerade nicht ein, ob der auch die Anzahl der Verbindungen regulieren kann. Bandbreiten-Shaping kann er definitiv.
Re: Verbindungen Limitieren
Danke, lartc sieht interessant aus. Werd mich da mald durchlesen.
mod_cband hab ich drauf und kann das auch, ich will das ganze aber nicht nur für apache sondern auch für alles andere haben (email, smtp, ...)
mod_cband hab ich drauf und kann das auch, ich will das ganze aber nicht nur für apache sondern auch für alles andere haben (email, smtp, ...)
Re: Verbindungen Limitieren
Melde mich freiwillig (bin bisher nicht in die Verlegenheit gekommen, Linux für die Infrastruktur zu nutzen 8)). Ansonsten kenne ich bloß lartRoger Wilco wrote:Nettes Howto dazu gibts unter http://lartc.org/ (kennt das wirklich jemand noch nicht?).
