From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <453DE879.6070302@gmail.com> Date: Tue, 24 Oct 2006 13:18:33 +0300 From: Kaydannik Alex User-Agent: Thunderbird 1.5.0.7 (Windows/20060909) MIME-Version: 1.0 To: shigorin@gmail.com, ALT Linux sysadmin discuss References: <453A3C7D.9040103@gmail.com> <20061021215500.GZ7286@osdn.org.ua> <453DC0EA.50100@gmail.com> <20061024094642.GB28465@osdn.org.ua> In-Reply-To: <20061024094642.GB28465@osdn.org.ua> Content-Type: text/plain; charset=windows-1251; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?windows-1251?b?W1N5c2FtZGluc13M5e3/IOTu8f7yLg==?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 24 Oct 2006 10:19:35 -0000 Archived-At: List-Archive: Это конечно хорошо, и даже работало бы. Однако задача простая - ограничить число коннектов вида EST SYN SN_WAIT ASC.. в общем НА ВСЕХ СТАДИЯХ с одного IP Вроде простая задача.. неужели все так сложно - ни снорты, ни iptables ни ipfw ... никогда никому не надо было? Michael Shigorin wrote: > On Tue, Oct 24, 2006 at 10:29:46AM +0300, Kaydannik Alex wrote: > >>>> Вопрос: Чем можно ограничить число установленных подключений >>>> или попыток установить подключение с одного IP адреса? >>>> >>> apt-get install mod_limitipconn >>> >> C апачем проблем нет - этот мод уже подключен. А вот с >> остальными сервисами как? >> > > -A http-flood -p tcp -m tcp -m limit --limit 1/s --limit-burst 2 -j ACCEPT > -A http-flood -j DROP > -A icmp-flood -p icmp -m icmp --icmp-type 8 -m limit --limit 5/s --limit-burst 25 -j ACCEPT > -A icmp-flood -p icmp -m icmp --icmp-type 8 -j DROP > -A syn-flood -m limit --limit 10/sec --limit-burst 50 -j RETURN > -A syn-flood -j DROP > -A bad-packets -m state --state INVALID -j DROP > >