[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[Nightik]

conn.php:

Код: [Выделить]

<?
echo '<meta http-equiv="refresh" content="5;URL=conn.php">';
echo '<pre>';
system('sh conn.sh');
?>
Будет рефрешить каждый 5 секунд.

[TrEK]

conn.php:

Код: [Выделить]

<?
echo '<meta http-equiv="refresh" content="5;URL=conn.php">';
echo '<pre>';
system('sh conn.sh');
?>
Будет рефрешить каждый 5 секунд.

Спасибо, its work!!! 

[Maluskor]

Всем привет, стоит ubuntu 9.04 Jaunty Jackalope модули ipt_connlimit, ipt_conntrack стоят iptables 1.4.2-rc1. Хочу ограничить со своей машины на http удалённого сервака количество соединений делаю так:
-A OUTPUT -p tcp -m tcp -m connlimit -d X.X.X.X --dport 8080 -j REJECT --reject-with icmp-port-unreachable --connlimit-above 5 --connlimit-mask 32. Modprobe загружает всё норм... а вот по netstat на X.X.X.X 9-15 соединений . Неделю мудохаюсь . Может кто чё подскажет.

[TrEK]

Всем привет, стоит ubuntu 9.04 Jaunty Jackalope модули ipt_connlimit, ipt_conntrack стоят iptables 1.4.2-rc1. Хочу ограничить со своей машины на http удалённого сервака количество соединений делаю так:
-A OUTPUT -p tcp -m tcp -m connlimit -d X.X.X.X --dport 8080 -j REJECT --reject-with icmp-port-unreachable --connlimit-above 5 --connlimit-mask 32. Modprobe загружает всё норм... а вот по netstat на X.X.X.X 9-15 соединений . Неделю мудохаюсь . Может кто чё подскажет.

Ты хочешь именно колличество сессий на своей машине ограничить.. или просто колличество на удаленный сервак?..

Попробуй -A OUTPUT -p tcp -m tcp -m connlimit -s X.X.X.X -m multiport --dport 8080,80 -j REJECT --reject-with icmp-port-unreachable --connlimit-above 5 --connlimit-mask 32

[admin4ek]

Ребята, кто не может себе поставить connlimit, просто скачайте свебую версию айпитаблесс и все. Не нужно ничего пересобирать, я себе деб пакет скачал и поставил и нет проблем все работает

[TrEK]

Ребята, кто не может себе поставить connlimit, просто скачайте свебую версию айпитаблесс и все. Не нужно ничего пересобирать, я себе деб пакет скачал и поставил и нет проблем все работает

Ну у меня так же проблема и решилась ведь ) Чуть выше описано.

[vl@d]

Добрый день, скажите пожауйста. У меня аноогичная ситуация -
Стоит сервак IBM доступ к нему через SSH - PUTTY -
Этот сервак обрабатывает пакеты авторизация происходит по определению MAC и IP.
Но в последнее время ввели в городе безлимитные тарифы, вернее год уже как, и сервак у нас стал на 99% CPU загруженным, потому как все стали какчать торренты, а они как следствие могут открывать 1000 сессий на один IP.... вот нашел ваш диалог и решил сделать как у вас описано конлимитом, как оказалось у меня нет этого модуля.... можно ли как то сделать без пересборки ядра, и вообще для чего нужно пересобирать ядро?
Пользователь решил продолжить мысль 05 Ноября 2009, 14:17:15:Извините за невнимательность.... Увидел сообщение выше... Просто поставить новую версию, а скажите как сохранить правила которые сейчас действуют и как потом их восстановить? у меня сейчас Iptables 1.3.8
Я новичок в этом деле - Страший сисадмин увольняется и мне необходимо все это перенять на себя.... Плиз помогите

[AnrDaemon]

Вот у старшего сисадмина и спросил бы. Небось быстрее ответ получишь, чем дожидаться, пока в конфе кто-то ответит?
man iptables-save

[TrEK]

Добрый день, скажите пожауйста. У меня аноогичная ситуация -
Стоит сервак IBM доступ к нему через SSH - PUTTY -
Этот сервак обрабатывает пакеты авторизация происходит по определению MAC и IP.
Но в последнее время ввели в городе безлимитные тарифы, вернее год уже как, и сервак у нас стал на 99% CPU загруженным, потому как все стали какчать торренты, а они как следствие могут открывать 1000 сессий на один IP.... вот нашел ваш диалог и решил сделать как у вас описано конлимитом, как оказалось у меня нет этого модуля.... можно ли как то сделать без пересборки ядра, и вообще для чего нужно пересобирать ядро?
Пользователь решил продолжить мысль 05 Ноября 2009, 14:17:15:Извините за невнимательность.... Увидел сообщение выше... Просто поставить новую версию, а скажите как сохранить правила которые сейчас действуют и как потом их восстановить? у меня сейчас Iptables 1.3.8
Я новичок в этом деле - Страший сисадмин увольняется и мне необходимо все это перенять на себя.... Плиз помогите

Ну про айпитейблз дофигища инфы...  вообще то у меня в /etc/ файлик iptables-save ... я его редактирую.. а потом из него запускаю в ОЗУ сервера - cat /etc/iptables-save | iptables-restore


а так почитай сдесь:
 > ---> ip tables
http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu-iptables.html
http://linuxopen.ru/2007/11/12/ognennaja-stena-ili-stroim-fajjrvol-na.html
http://ubuntuclub.ru/home.php?name=Info&l_op=viewinfo&cid=8&ter=168
!!! http://itforum.uz/index.php?showtopic=7046
http://www.nestor.minsk.by/sr/2004/06/40608.html
http://www.inattack.ru/article/377.html
http://opennet.ru/tips/info/690.shtml
> > https://forum.ubuntu.ru/index.php?topic=30793.0
> > https://forum.ubuntu.ru/index.php?topic=20334.15
> > https://forum.ubuntu.ru/index.php?topic=3244.30
> > http://easylinux.ru/node/190
> > https://forum.ubuntu.ru/index.php?topic=12454.0

[roma333]

Не совсем понял о чем ты, можно задать диапазон, у меня например так:
$IPT -A INPUT -p tcp -s 10.0.0.0/10.255.255.255 --syn --dport 8282 -m connlimit --connlimit-above 20 -j DROP

Не совсем понятно, работает ли такое -s 10.0.0.0/10.255.255.255, в Iptables Tutorial не нашел подобного варианта после ключа -s, тогда как в случае, если мы пишем $IPT -A INPUT -p tcp -s 10.0.0.0/8 --syn --dport 8282 -m connlimit --connlimit-above 20 -j DROP - это должно работать - ограничивать число соединений не выше 20 для любого IP адреса из выбранного диапазона 10.0.0.0-10.255.255.255...
Или я не прав?

[vl@d]

Поставил без пересборки IPTABLES 1.4.2 rc1 - работает проверял в каталоге набрал команду ./iptables -t filter -I INPUT -p tcp --dport 6881:6999 -m connimit --connlimit-above 15 -j REJECT
Ограничения по портам торрента... Но у меня до сих пор работает старая версия 1.3.8 -
у меня Ubuntu 8.04 Linux mail 2.6.24-19-server #1 SMP Wed Aug 20 23:54:28 UTC 2008 i686 GNU/Linux
Где мне прописать путь до нового IPtables - у меня он находится /etc/iptables-1.4.2-rc1
Правила  со старого IPtables сохранил... востанавливать думаю тока после запуска нового...
подскажите алгоритм действий... где и куды... плиз... у нас сервак просто виснет мощнейший циско а загружен на 100%...

[roma333]

Поставил без пересборки IPTABLES 1.4.2 rc1 - работает проверял в каталоге набрал команду ./iptables -t filter -I INPUT -p tcp --dport 6881:6999 -m connimit --connlimit-above 15 -j REJECT
Ограничения по портам торрента... Но у меня до сих пор работает старая версия 1.3.8 -
у меня Ubuntu 8.04 Linux mail 2.6.24-19-server #1 SMP Wed Aug 20 23:54:28 UTC 2008 i686 GNU/Linux
Где мне прописать путь до нового IPtables - у меня он находится /etc/iptables-1.4.2-rc1
Правила  со старого IPtables сохранил... востанавливать думаю тока после запуска нового...
подскажите алгоритм действий... где и куды... плиз... у нас сервак просто виснет мощнейший циско а загружен на 100%...

Что значит прописать путь к новым iptables, какой результат команды iptables -V?

[vl@d]

ответ Iptables -V
Iptables 1.3.8
а когда делаешь эту команду в установленной папке 1.4.2 rc1 ./iptables -V, то выдает - iptables 1.4.2-rc1

[dmsergei]

Не подскажете что делает эта строчка :

iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 10 -j REJECT

[AnrDaemon]

Режет SYN флуд.