sslug-teknik team mailing list archive

[david@xxxxxxxxxxxxx]

On Tue, Jan 29, 2002 at 02:00:40PM +0100, Anna Jonna Armannsdottir wrote:

> Til gengæld kan du måske lave regler i netfilter der sætter en 
> øvre grænse for hvor mange forbindelser kan accepteres fra 
> et enkelt IP nr. 
> Jeg tror ikke det er nemt, men det må kunne lade sig gøre. 
> En prototype på sådan en regel ville være: 
> 
> #!/bin/sh 
> ... 
> iptables -N from-ip-192-168-0-1
> ...
> DIRECTION="FORWARD"
> iptables -A $DIRECTION -s 192.168.0.1 -j from-ip-192-168-0-1
> ... 
> 
> #Begrænsning for eet enkelt ip nr. 
> DIRECTION="from-ip-192-168-0-1"
> iptables -A $DIRECTION -m limit --limit 1/s --limit-burst 60 -j RETURN
> iptables -A $DIRECTION -m limit --limit 1/minute --limit-burst 10 \
>   -j LOG --log-level warning --log-prefix "fraadser " 
> iptables -A $DIRECTION -m limit --limit 3/s --limit-burst 100 -j RETURN
> iptables -A $DIRECTION -j DROP

Det du laver her ar at begrænse antallet af pakker der kan modtages fra
en enkelt ip-adresse pr. tid, og hvis der placeres en
'iptables ... -m statte --state NEW' match før det her vil det begrænse
antallet af af tcp forbindelser det kan oprettes pr. tid, men det der
ønskes er at begrænse antallet af paralelle tcp forbindelser til
serveren, og til det formål kan man finde iplimit i iptables
patch-o-matic, med hvilken man f.eks. kan begrænse antallet af
paralelle http forbindelser pr. c-net til 16 med følgende kommando:

iptables -p tcp --syn --dport 80 -m iplimit --iplimit-above 16          \
        --iplimit-mask 24 -j REJECT
        
MVH David Darville