Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: iptables ограничение на кол-во подключений в секунду  (Прочитано 1280 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн mouserok

  • Автор темы
  • Активист
  • *
  • Сообщений: 326
    • Просмотр профиля
Добрый ...
идёт слишком частое обращение к WEB серверу с одного IP
как можно вставить заглушку на ограничение для IP (192.168.10.17) ... чтоб в секунду не более 5 подключений было ???

Оффлайн EvgenNsk

  • Участник
  • *
  • Сообщений: 135
    • Просмотр профиля
Идешь сюда:
http://www.opennet.ru/docs/RUS/iptables/
и пролистываешь до раздела "6.4.3.1. Критерий Limit"

Если ты будешь прописывать правило для машины, которая работает за маршрутизатором, то добавляй правило в цепочку FORWARD, если речь идет о локальной машине, который ломится на твой веб-сервер на Linux из локалки - то в цепочку INPUT.

Видимо, ты хочешь поставить правило на пограничной машине, чтобы с одного из компов в локалке нельзя было часто обращаться к одному из серверов снаружи, в инете.
В таком случае твоя строчка с правилом будет начинаться примерно так:

iptables -A FORWARD -i eth1 -p tcp -s 192.168.10.17/32 .... (дальше пишем критерий, в соответствии с мануалом)
eth1 - заменить на имя интерфейса, который смотрит в локалку

Во втором случае просто поменяй FORWARD на INPUT

Кстати, вот сюда сходи в обязательном порядке:
https://forum.ubuntu.ru/index.php?topic=37515.0
« Последнее редактирование: 04 Февраля 2012, 16:32:40 от EvgenNsk »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Добрый ...
идёт слишком частое обращение к WEB серверу с одного IP
как можно вставить заглушку на ограничение для IP (192.168.10.17) ... чтоб в секунду не более 5 подключений было ???

Берёшь заглушку, идёшь к владельцу этого IP, и вставляешь её ему в задницу. Чтобы больше так не делал.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн EvgenNsk

  • Участник
  • *
  • Сообщений: 135
    • Просмотр профиля
Берёшь заглушку, идёшь к владельцу этого IP, и вставляешь её ему в задницу. Чтобы больше так не делал.
Зачем идти к владельцу этого IP, мы же цивилизованные люди, которые используют цивилизованные методы для борьбы с нецивилизованным быдлом.
Пусть пишет правило типа:
iptables -A INPUT -p all -s 192.168.10.17/32 -j DROP
iptables -A FORWARD -p all -s 192.168.10.17/32 -j DROP


А для пущей надежности еще и так ( надо только подставить нужный MAC):
iptables -A INPUT -p all -m mac --mac-source 00:11:22:33:44:55:66 -j DROP
iptables -A FORWARD -p all -m mac --mac-source 00:11:22:33:44:55:66 -j DROP


Владелец этого IP сам и придет, чтобы получить заглушку в ж
« Последнее редактирование: 05 Февраля 2012, 11:20:55 от EvgenNsk »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Затем, что 192.168/16 - это приватный диапазон. Что автоматически подразумевает, что владелец искомого адреса находится в пределах досягаемости пинка под зад.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн EvgenNsk

  • Участник
  • *
  • Сообщений: 135
    • Просмотр профиля
владелец искомого адреса находится в пределах досягаемости пинка
Знаю я этот предел досягаемости...
Приходилось админить небольшую сеть в пределах одной девятиэтажки. Были граждане, которые откровенно гадили, а от прямых встреч с админом уклонялись. Не бегать же за каждым, правильно? Поэтому на фаере этот IP (вместе с МАСом) тупо банился, а для разбанивания виновный приглашался на приватную беседу.

Против сообразительных товарищей, которые клонировали МАС, работал все тот же фаер, который пакеты от неизвестных ему МАСов просто выкидывал.

 

Страница сгенерирована за 0.055 секунд. Запросов: 25.