The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Улучшения в плане контроля входящих адресов в OpenBSD PF.

15.12.2003 17:11

В пакетном фильтре OpenBSD PF реализованы средства регулирования интенсивности трафика с IP адресов (можно ограничить число одновременных коннектов с одного IP) и сохранения статуса при балансировке или трансляции адреса.

Пример:


Для одно и того же IP в последующем  результат трансляции будет такой же 
как и при первом срабатывании. Т.е. если IP оттранслировался в 10.1.2.1, 
то он будет продолжать транслироваться в 10.1.2.1 в дальнейшем.

nat on $ext_if from $int_net to any -> { 10.1.2.1, 10.1.2.3 } round-robin sticky-address
rdr on $ext_if from any to $ext_if -> { 192.168.0.4/30 } random sticky-address


Максимум 1000 IP могут соединится одновременно к web-серверу, 
каждый может иметь не более 3-х одновременных соединений.

pass in on $ext_if proto tcp to $webserver port www flags S/SA \
        keep state (source-track, max-src-states 3, max-src-nodes 10)

Установка таймаута в течении которого будет сохранен статус:

set timeout src.track 900

Статистика:

pfctl -sS
pfctl -vsS;
pfctl -vsi 



  1. Главная ссылка к новости (http://marc.theaimsgroup.com/?...)
Лицензия: CC-BY
Источник: deadly.org
Ключевые слова: traffic, web, timeout, tcp, openbsd, port, ip, connect, connect, nat, filter, time
При перепечатке указание ссылки на opennet.ru обязательно
 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:



Спонсоры:
MIRhosting
Fornex
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру