Здравствуйте! On Mon, Dec 12, 2005 at 04:32:45PM +0200, Alexander Trotsai wrote:
AB> > patch-o-matic AB> > connlimit
AB> Вроде бы connlimit использует conntrack. Т.е. если с какого-то адреса
использует
AB> было сделано 100 коннектов, но они по каким-то причинам оборвались, то
оборвались - очень разные бывают бываюn _c_ RST или FIN, а бывают и без последние считаются открытыми
Имел в виду те, которые без RST или FIN. Дефолтные 5 суток - уж слишком большой timeout для них :)
AB> conntrack их все равно будет считать как ESTABLISHED и будет дальше AB> отбивать коннекты с этого адреса (при условном лимите в 100), не смотря AB> на то, что реальных 100 tcp-коннектов уже не будет.
что считать реальным коннектом? после прохождения syn / ack - это реальный коннект? а если потом ничего нет?
в целом target на Дозе достаточно успешно отбивается от настойчивых посетителей
Понял, спасибо. Буду пробовать. Только разве что стоит поиграться с timeout_established, т.к. редкая tcp-сессия должна столько жить. -- Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message