Verbindungen Limitieren

Rund um die Sicherheit des Systems und die Applikationen
indiana
Posts: 41
Joined: 2005-11-03 09:46

Verbindungen Limitieren

Post by indiana » 2008-06-13 06:35

Hi,

Ich würde gerne mit iptables die anzahl der Verbindungen pro remote User/IP limitieren.
das normale --limit scheint ja pauschal zu sein.

c'ya
Indiana

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Verbindungen Limitieren

Post by EdRoxter » 2008-06-13 09:34

Magst du dein Konzept mal näher erläutern? Ich glaube nämlich, dass das keine gute Idee wäre, wenn beispielsweise jemand gleichzeitig auf einer Webseite auf deinem Server mit vielen Bildern surft, seine Mails abruft und Dateien hochlädt.

indiana
Posts: 41
Joined: 2005-11-03 09:46

Re: Verbindungen Limitieren

Post by indiana » 2008-06-13 19:05

Ich will meine Dienste nur vor DoS schützen.
Klar geht das mit iptables nicht wirklich effektive, aber z.b. wenn jemand 100 apache sessions offen hält hätte ich gerne das er "gekicked" wird und diese wieder für jemanden frei wird der ernstaft was will.
Und die sorge das dann wer gekickt wird der kein DoS vor hat habe ich nicht da z.b. IE max 4 - 10 connects pro IP zulästz (bei FireFox weis ich gerade nicht wieviele es sind).
pop3/imap2 ist bereits auf 10 pro ip (courier) limitiert.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Verbindungen Limitieren

Post by daemotron » 2008-06-13 21:01

Ein Paketfilter ist da nicht das richtige Werkzeug. Schau Dir mal mod_evasive (http://www.zdziarski.com/projects/mod_evasive/) an, das hilft Dir vielleicht weiter. Alternativ kannst Du Dich mit dem Thema Traffic Shaping / QoS / Packet Scheduling auseinandersetzen. Unter BSD geht das mit ALTQ, wie das Linux-Pendant dazu heißt, weiß ich nicht 8)

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Verbindungen Limitieren

Post by Roger Wilco » 2008-06-14 11:57

jfreund wrote:Unter BSD geht das mit ALTQ, wie das Linux-Pendant dazu heißt, weiß ich nicht 8)

Die "einfache" Variante mit tc. Nettes Howto dazu gibts unter http://lartc.org/ (kennt das wirklich jemand noch nicht?).

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Verbindungen Limitieren

Post by EdRoxter » 2008-06-14 12:22

Für Apache gibt's auch mod_cband, nur fällt mir gerade nicht ein, ob der auch die Anzahl der Verbindungen regulieren kann. Bandbreiten-Shaping kann er definitiv.

indiana
Posts: 41
Joined: 2005-11-03 09:46

Re: Verbindungen Limitieren

Post by indiana » 2008-06-15 00:13

Danke, lartc sieht interessant aus. Werd mich da mald durchlesen.
mod_cband hab ich drauf und kann das auch, ich will das ganze aber nicht nur für apache sondern auch für alles andere haben (email, smtp, ...)

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Verbindungen Limitieren

Post by daemotron » 2008-06-27 15:58

Roger Wilco wrote:Nettes Howto dazu gibts unter http://lartc.org/ (kennt das wirklich jemand noch nicht?).

Melde mich freiwillig (bin bisher nicht in die Verlegenheit gekommen, Linux für die Infrastruktur zu nutzen 8)). Ansonsten kenne ich bloß lart :wink: