- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
myhand, хм, а что если первым правилом идёт разрешающее всё, вот я и обратил внимание что лучше использовать -I для того, чтобы это правило было первым
Ребята что вы пишите?, ну если уже пошло разбирательство по поводу iptables то первым делом надо писать такое *)
Ув. zexis! предоставите пожалуйста вывод:
В ssh под root в ведите
iptables -L -nv
И дайте вывод нам в форум что-бы мы не гадали что у вас за порядок правил-цепочек, и откомпилирован Iptables у вас с модулем hashlimit ? какая версия Iptables какое ядро, какая система,вы дали сводную информацию и нельзя составить цепочку логики работы iptables
И дайте вывод нам в форум что-бы мы не гадали что у вас за порядок правил-цепочек, и откомпилирован Iptables у вас с модулем hashlimit ? какая версия Iptables какое ядро, какая система,вы дали сводную информацию и нельзя составить цепочку логики вашей работы
ему указали в первом ответе, что работа правил зависит от предыдущих в цепочке.
имхо, что-то конструктивное к этому добавил только Борис.
PS: hashlimit у NC есть, естественно - иначе ядро ругалось бы при попытке добавления правил.
ему указали в первом ответе, что работа правил зависит от предыдущих в цепочке.
имхо, что-то конструктивное к этому добавил только Борис.
PS: hashlimit у NC есть, естественно - иначе ядро ругалось бы при попытке добавления правил.
Что для вас конструктивное ? (keepalive?)? (борис написал это к чему привязать к apache, ? или keepalive? tcp, я не пойму ? где же конструктивность ?)он же в посте не знает даже что го-варит...вы себе представляете на 80 порт ограничить 2 соединение в час ?(это я пишу к теме что ему указали о том что всё зависит от пред ведущих цепочек(как можно писать о цепочках, когда он в правела туго в некает:)) ),я не хочу в падать в перепалку слов..я вижу вы обсуждаете его правела я предоставил команды, что бы понять о его созданных правилах..чтобы понять нужно ли добавлять первым его или нужно смотреть цепочки input а может у него CSF стоит тогда там вопще другая картина Репина...я сочетаю что надо для начала рассмотреть работу его правил и углубиться в систему..как бы то не было я думаю что мы и так много ему написали должен и сам разобрать 🍻
Что для вас конструктивное ? (keepalive?)? (борис написал это к чему привязать к apache, ? или keepalive? tcp, я не пойму ? где же конструктивность ?)он же в посте не знает даже что го-варит...вы себе представляете на 80 порт ограничить 2 соединение в час ?(это я пишу к теме что ему указали о том что всё зависит от пред ведущих цепочек(как можно писать о цепочках, когда он в правела туго в некает:)) ),я не хочу в падать в перепалку слов..я вижу вы обсуждаете его правела я предоставил команды, что бы понять о его созданных правилах..чтобы понять нужно ли добавлять первым его или нужно смотреть цепочки input а может у него CSF стоит тогда там вопще другая картина Репина...я сочетаю что надо для начала рассмотреть работу его правил и углубиться в систему..как бы то не было я думаю что мы и так много ему написали должен и сам разобрать 🍻
Я не вижу смысла расписывать свою идею о том, что посещения нескольких ссылок могли пройти в одном tcp-соединении к apache из-за использования keepalive, так как умный человек сможет понять это и из одного слова :)
Что для вас конструктивное ? (keepalive?)? (борис написал это к чему привязать к apache, ? или keepalive?
то, что дергая ссылки на сайте - он совершенно не обязательно откроет
новое TCP-соединение.
он же в посте не знает даже что го-варит...вы себе представляете на 80 порт ограничить 2 соединение в час ?
представляю отчетливо: человек хочет потестировать работу правил. низкий
лимит - специально, чтобы попасть в DROP.
Я не вижу смысла расписывать свою идею о том, что посещения нескольких ссылок могли пройти в одном tcp-соединении к apache из-за использования keepalive, так как умный человек сможет понять это и из одного слова :)
Вы наверное не правильно понимаете маю суть... причём тут keepalive до iptables
пишит:
-------------------
На сервере работает Apache.
Пишу 2 правила для фаервола
-------------------
Я отвечаю:
Ув. zexis! предоставите пожалуйста вывод:
В ssh под root в ведите
iptables -L -nv
И дайте вывод нам в форум что-бы мы не гадали что у вас за порядок правил-цепочек, и откомпилирован Iptables у вас с модулем hashlimit ? какая версия Iptables какое ядро, какая система,вы дали сводную информацию и нельзя составить цепочку логики работы iptables
-------------------
iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-upto 2/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name h1 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
Правила добавляются успешно.
--------------------
По логике они должны разрешать создание не более 2 новых конектов за час.
--------------------
Однако доступ к www серверу все равно происходит нормально, даже если несколько раз нажимать на ссылки.
--------------------
Почему не срабатывает ограничение hashlimit не понятно.
Попробовал на 2-х разных северах.
---------------------
Борис причём тут ваш keepalive каторвй устанавлвиаетца в Apche ? скажите куда его тут приткнуть ? :)
madoff добавил 02.12.2009 в 15:35
то, что дергая ссылки на сайте - он совершенно не обязательно откроет
новое TCP-соединение.
представляю отчетливо: человек хочет потестировать работу правил. низкий
лимит - специально, чтобы попасть в DROP.
да пусть дёргает что хочет 😆, мы по факту разговариваем за iptables ))) вот я и пишу причём тут iptables До keepalive ))
Вдумчиво перечитайте всю тему. Попробуйте понять, почему я сказал о keepalive.
Еще раз вдумчиво перечитайте тему и снова попробуйте понять.
Если и после этого не получится - я попробую дать более подробные разъяснения.
Вдумчиво перечитайте всю тему. Попробуйте понять, почему я сказал о keepalive.
Еще раз вдумчиво перечитайте тему и снова попробуйте понять.
Если и после этого не получится - я попробую дать более подробные разъяснения.
Борис я лично вас понимаю,для меня всё просто keepalive даёт возможность работать в потоке ,и то что он дёргает будет лиш всего одним tcp соединением,я это понял давно,но я пишу за Iptables конкретно за провела его...мы же не можем думать что и как он дёрграл )))да и не важно надо просто подойти к вопросу его и рассмотреть сначала iptables потомушто он пишит за правела
И сразу я скажу..не важно кейпаливе, или нет,он в любом случии дёргал не раз в 2 минуты ....если у него настроен апачи по дефолту то породить новый процесс апачи почти сразу там чилдрены установлены минимальны..всё ранво бы его замочило*)))...но мы ушли так далеко от всего ,а у него всё просто должно было быть 🍻
И сразу я скажу..не важно кейпаливе, или нет,он в любом случии дёргал не раз в 2 минуты ....если у него настроен апачи по дефолту то породить новый процесс апачи почти сразу там чилдрены установлены минимальны..всё ранво бы его замочило*)))...
где ТС сказал про апач, настроенный по _дефолту_? Борис просто указал
на _еще одину_ логическую возможность - почему правила не работают.
первый вариант - другие правила с ACCEPT _до_ указанных ТС (см. ответ #2).
имеете к этому что-то добавить?