https://slinkov.ru/openforum/vsluhforumID1/92641.html При использовании модуля connlimit в iptables: <br>iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j REJECT<br><br>на сайте грузится только часть рисунков.<br><br>Тоже самое если настроить nginx на ограничение одновременных подключений (nginx стоит перед апач).<br><br>KeepAlive в httpd.conf отключен.<br><br>Подскажите, с чем может бы вызвана такая работа веб-серверов? Как можно ее решить?<br> https://slinkov.ru/openforum/vsluhforumID1/92641.html#7 Sun, 27 Nov 2011 22:57:25 GMT В продолжение обсуждения...<br><br>На каком уровне лучше защищаться от простых ab, для начала (ApacheBenchmark). <br><br>Добавил правило в файрвол на 5/sec (таймаут 10сек) - начали появляться IP Google. Думаю это хорошим ничем не закончится... с поисковиком не хочется шутить...<br> <br><br>Сколько в лимит на практике ставить необходимо, или лучше применять другие решения ?<br> https://slinkov.ru/openforum/vsluhforumID1/92641.html#6 Thu, 24 Nov 2011 04:29:47 GMT &gt;&gt; Спасибо. А в каких случаях тогда необходимо conn_limit для nginx?<br>&gt; Ограничить, к примеру, число скачиваний файла.<br><br>Файрволл ограничивает TCP-соединения, а в веб-сервере настройка применяется на разных уровнях - на уровне всего веб-сервера, на уровне отдельного веб-сайта, а в nginx также можно ограничивать на уровне location, что позволяет ограничивать по еще более точным условиям.<br> https://slinkov.ru/openforum/vsluhforumID1/92641.html#5 Thu, 24 Nov 2011 04:28:15 GMT <br>&gt; Спасибо. А в каких случаях тогда необходимо conn_limit для nginx?<br><br>Ограничить, к примеру, число скачиваний файла.<br><br>Общее правило: пока не знаешь, зачем оно нужно и не имеешь представления, как оно работает - трогать этот рычажок не надо.<br><br>&gt; Если с коробки установка данной опции привод к вот такому нехорошему последствию?<br><br>Не совсем ясен смысл фразы "с коробки".<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/92641.html#4 Wed, 23 Nov 2011 15:30:44 GMT <br><br>&gt; Если с коробки установка данной опции привод к вот такому нехорошему последствию?<br><br>"Выстрелить в ногу" можно еще кучей других способов.<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/92641.html#3 Wed, 23 Nov 2011 15:03:06 GMT <br>&gt;[оверквотинг удален]<br>&gt; -A INPUT -i eth0 -p tcp -m tcp --dport 8080 --tcp-flags FIN,SYN,RST,ACK <br>&gt; SYN -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 10 --hashlimit-mode srcip <br>&gt; --hashlimit-name dport8080 -j DROP <br>&gt; -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m connlimit <br>&gt; --connlimit-above 30 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable <br>&gt; -A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK <br>&gt; SYN -m hashlimit --hashlimit-above 2/sec --hashlimit-burst 10 --hashlimit-mode srcip <br>&gt; --hashlimit-name dport8080 -j DROP <br>&gt; ....<br>&gt; замечаний нет.<br><br>Спасибо. А в каких случаях тогда необходимо conn_limit для nginx? Если с коробки установка данной опции привод к вот такому нехорошему последствию?<br> https://slinkov.ru/openforum/vsluhforumID1/92641.html#2 Wed, 23 Nov 2011 14:56:14 GMT &gt; При использовании модуля connlimit в iptables: <br>&gt; iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 <br>&gt; -j REJECT <br>&gt; на сайте грузится только часть рисунков.<br>&gt; Тоже самое если настроить nginx на ограничение одновременных подключений (nginx стоит перед <br>&gt; апач).<br>&gt; KeepAlive в httpd.conf отключен.<br>&gt; Подскажите, с чем может бы вызвана такая работа веб-серверов? <br><br>Вызвана - Вашими настройками.<br><br>&gt;Как можно ее решить?<br><br>Включить логику, изменить настройки.<br><br><br>-------------<br>....<br>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -m connlimit --connlimit-above 20 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br>-A INPUT -i eth0 -p tcp -m tcp --dport 8080 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name dport8080 -j DROP<br>-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 30 --connlimit-mask 32 -j REJECT --reje https://slinkov.ru/openforum/vsluhforumID1/92641.html#1 Wed, 23 Nov 2011 14:43:34 GMT &gt; При использовании модуля connlimit в iptables: <br>&gt; Тоже самое если настроить nginx на ограничение одновременных подключений<br>&gt; Подскажите, с чем может бы вызвана такая работа веб-серверов? Как можно ее <br>&gt; решить?<br><br>Предлагаю "решить работу веб-сервера" не использованием меодуля connlimit в iptables и не ограничиванием одновременных подключений в nginx.<br>