The OpenNET Project: Как запретить открывать более 30 соединений с одного IP

Как запретить открывать более 30 соединений с одного IP	[исправить]
Запретим более 30 коннектов для 80 порта сервера 1.2.3.4. ipfw add allow tcp from any to 1.2.3.4 80 limit src-addr 30 ipfw add allow tcp from any to 1.2.3.4 80 via fxp0 setup limit src-addr 10 Вместо src-addr можно использовать src-port, dst-addr, dst-port Конструкция работает в последних версиях FreeBSD 4.x ветки.


30.04.2002 Ключи: tcp, ipf, limit, freebsd, port, ip, x, ipfw / Лицензия: CC-BY
Раздел: Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Обсуждение

[ RSS ]

1.1, artem (?), 08:17, 26/11/2002 [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Попробовал ограничить число соединений на FreeBSD 4.4: ipfw add 100 192.168.1.1 to 192.168.1.2 80 limit src-addr 10 ipfw: error: unknown argument ''limit'' Может в ядре чтото включить, или версия не та ? В LINT-е ничего похожего

2.2, uldus (?), 09:35, 26/11/2002 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

>Попробовал ограничить число соединений на FreeBSD 4.4:
>
>ipfw add 100 192.168.1.1 to 192.168.1.2 80 limit src-addr 10
>ipfw: error: unknown argument ''limit''

Насколько я помню, такое впервые появилось в FreeBSD 4.5.

1.3, Тошик (??), 20:58, 03/06/2004 [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
а что значит : limit src-addr 10

1.4, User (??), 00:40, 30/07/2004 [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
А для iptables, что можно сделать?

2.5, rost (?), 01:37, 02/08/2004 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
-m connlimit

1.6, Berserker (?), 12:28, 18/04/2005 [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

млин
а запрщать кто будет все остально ?
Т.е. полный вариант будет

ipfw add allow tcp from any to 1.2.3.4 80 setup limit src-addr 30
ipfw add deny tcp from any to 1.2.3.4 80 setup setup

2.8, Сергей Сичевский (?), 00:46, 07/10/2007 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

Запрещающих правил точно не надо ;-)
Правило интерпретируется так: "разрешить все соединения с лимитом сессий 30"
(остальные setup-ы дропнутся)

Только после этого обработка остальных правил завершается.
А если надо, например, еще вкинуть эти адреса в диверт то предлагаю такой вариант:

/sbin/ipfw add 1 skipto 2 tcp from 172.16.0.0/12 to any setup limit src-addr 20
/sbin/ipfw add 10 divert natd ip from 172.16.0.0/12 to any

+/–

pipe 1099 config bw 640kbit/s
add pipe 1099 all from any to 10.10.126.99 in via rl0
работает нормально

pipe 1099 config bw 640kbit/s
add pipe 1099 all from any to 10.10.126.99 in via rl0 limit src-addr 5
скорость падает в два раза

почему???

freebsd 5.xxx

Добавить комментарий

Имя:
E-Mail:
Заголовок:
Текст: