Hi! On Mon, Dec 12, 2005 at 04:43:10PM +0200, Alexander Burnos writes:
AB> >> patch-o-matic AB> >> connlimit
AB>> Вроде бы connlimit использует conntrack. Т.е. если с какого-то адреса
использует
AB>> было сделано 100 коннектов, но они по каким-то причинам оборвались, то
оборвались - очень разные бывают бываюn _c_ RST или FIN, а бывают и без последние считаются открытыми
AB> Имел в виду те, которые без RST или FIN. AB> Дефолтные 5 суток - уж слишком большой timeout для них :) Иногда ssh надолго оставляют, особенно под скринами или в hybernate. И как знать - просто никто кнопочки не нажимает, или оно оборвалось?
AB>> conntrack их все равно будет считать как ESTABLISHED и будет дальше AB>> отбивать коннекты с этого адреса (при условном лимите в 100), не смотря AB>> на то, что реальных 100 tcp-коннектов уже не будет.
что считать реальным коннектом? после прохождения syn / ack - это реальный коннект? а если потом ничего нет?
в целом target на Дозе достаточно успешно отбивается от настойчивых посетителей
AB> Понял, спасибо. Буду пробовать. AB> Только разве что стоит поиграться с timeout_established, т.к. редкая AB> tcp-сессия должна столько жить. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message