ткните носом - per IP connections number limiting
Hi! Как бы по-проще реализовать лимит на количество коннектов с одного IP/сети? Куда посмотреть на C'шный код лучше? А то что-то непонятное совсем в inetd делают :) (хотя я сильно не пытался понять). -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Feb 26, 2004 at 06:06:30PM +0200, Paul Arakelyan wrote: PA>Hi! PA>Как бы по-проще реализовать лимит на количество коннектов с одного PA>IP/сети? PA>Куда посмотреть на C'шный код лучше? А то что-то непонятное совсем PA>в inetd делают :) (хотя я сильно не пытался понять). ось какая? если пингв'ин - из patch-o-matic к netfilter [root@king named]# fgrep connlimit /etc/init.d/ipfilter $IPTABLES -A INPUT -p tcp --dport 8080 --syn -m connlimit --connlimit-above 3 $IPLOGSTR 'DOZA limit ' $IPTABLES -A INPUT -p tcp --dport 8080 --syn -m connlimit --connlimit-above 3 -j REJECT --reject-with admin-prohib [root@king named]# btw. вопрос - вот вот пересоберем дозу и думается мне мысля - количество connection > 3 ограничивать в самом апаче, но вот если кто при этом ухитрится подняться до 10-ти, стоит ли такого уникума на TARPIT присадить или это жестоко? -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Тест на IQ показал отрицательный результат =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Thu, Feb 26, 2004 at 18:06 +0200, Paul Arakelyan wrote:
Hi! Как бы по-проще реализовать лимит на количество коннектов с одного IP/сети?
ipfw add allow tcp from ... to ... limit ...
Куда посмотреть на C'шный код лучше? А то что-то непонятное совсем в inetd делают :) (хотя я сильно не пытался понять).
Или это в свою тулзу вляпать ? Оно конечно, смотря на какое число connection/sec и одновременное число connect-ов рассчитывать, но в большинстве случаев даже примитивная табличка с линейным поиском - будет достаточно. Или в чем-то есть хитрость? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, 26 Feb 2004, Alexander Trotsai wrote:
btw. вопрос - вот вот пересоберем дозу и думается мне мысля - количество connection > 3 ограничивать в самом апаче, но вот если кто при этом ухитрится подняться до 10-ти, стоит ли такого уникума на TARPIT присадить или это жестоко?
Стоит. И пусть таким быстрым и умным их ум помогает этот TARPIT лечить. -- Vladimir A. Podgorny, Adamant ltd. TEO. phone/fax: +380(44)5667722 =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Feb 26, 2004 at 06:15:54PM +0200, Vladimir A. Podgorny wrote:
On Thu, 26 Feb 2004, Alexander Trotsai wrote:
btw. вопрос - вот вот пересоберем дозу и думается мне мысля - количество connection > 3 ограничивать в самом апаче, но вот если кто при этом ухитрится подняться до 10-ти, стоит ли такого уникума на TARPIT присадить или это жестоко?
Стоит. И пусть таким быстрым и умным их ум помогает этот TARPIT лечить. Любой IE вагон коннектов открывает - проверено на начальнике :). Лимитил количество коннектов в сквиде - и у него половина картинок обламывалась. Скорее лимитить для некоторых типов контента.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (4)
-
Alexander Trotsai -
Andrey Blochintsev -
Paul Arakelyan -
Vladimir A. Podgorny