Как ограничить количество подключений к порту ?

[jidckii]

Всем привет.
Собственно сабж.
Есть сервис, он крутится на определенном порту, к примеру 80.
Есть ли способ к примеру средствами iptables ограничить количество подключений к нему.
Т.е. если сейчас установлено 6 сессий(не важно с 1-го ip или с 6-ти), то 7-ой уже не давать подключаться и дропать. А как только их снова 5, то новую можно снова установить.

[AnrDaemon]

Можно. Вот только зачем самому себе создавать DoS атаки?

[jidckii]

Можно. Вот только зачем самому себе создавать DoS атаки?

Не совсем понял, к чему это ?
Мне просто надо ограничить количество одновременных подключений, так как сервис ресурсоемкий, и нужно что бы железка не умерла, а канал не протух.

[.ubuntufan]

Для подобного ограничения можно использовать модуль connlimit:

Код: [Выделить]

iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above <your limit number> --connlimit-mask 0 -j DROP
iptables -A OUTPUT -p tcp --syn -m connlimit --connlimit-above <your limit number> --connlimit-mask 0 -j DROP

http://ipset.netfilter.org/iptables-extensions.man.html

[jidckii]

Вот что мне подошло:

Код: [Выделить]

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j DROPвсем спасибо, тема решена.

[AnrDaemon]

Можно. Вот только зачем самому себе создавать DoS атаки?

Не совсем понял, к чему это ?
Мне просто надо ограничить количество одновременных подключений, так как сервис ресурсоемкий, и нужно что бы железка не умерла, а канал не протух.

Чтобы канал не протух, ставят шейпер. А если твоя железка не справляется с нагрузкой, поменяй железку либо настрой ограничения в самом сервисе.
Ограничивать сервис на пакетном уровне, который нихрена не знает о протоколе твоего сервиса, это прямой путь заблокировать твой сервис напрочь. Любое сканирование портов будет восприниматься как подключение к сервису и вызывать блокировки, в результате легитимные клиенты до него достучаться не смогут.

[jidckii]

AnrDaemon,

Чтобы канал не протух, ставят шейпер. А если твоя железка не справляется с нагрузкой, поменяй железку либо настрой ограничения в самом сервисе.
Ограничивать сервис на пакетном уровне, который нихрена не знает о протоколе твоего сервиса, это прямой путь заблокировать твой сервис напрочь. Любое сканирование портов будет восприниматься как подключение к сервису и вызывать блокировки, в результате легитимные клиенты до него достучаться не смогут.

Все это круто конечно, вот только если это продакшен какого нибудь крутого ресурса.
У меня просто домашний сервер с какими то мини задачами.
И того решения, что я уже реализовал, достаточно вполне!
А то как в анекдоте выходит, если так заморачиваться
Чайник заходит в комнату, где сидит программист-системщик:- Слушай, мне нужен генератор случайных чисел.Тот, не оборачиваясь:- Четырнадцать...

[AnrDaemon]

jidckii, vой личный опыт утверждает, что система, настроенная по-взрослому, без компромиссов и отмазок на домашнесть, работает в разы надёжнее и требует к себе в разы меньше внимания, тогда как "домашняя" система без ежедневного поглаживания живота коленом работать нормально просто не в состоянии.