URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 53684
[ Назад ]

Исходное сообщение
"FreeBsd ограничение количества соединений"
Отправлено Admin , 20-Фев-05 15:26

Требуется создать эффективное ограничение на количество одновременных соединений, чтобы защититься от зараженных вирусами пользователей. Т.К. ложат сервак >500 одновременными соединениями. В rc.firewall пробовал прописывать правила, как в мануале, с опцией limit, счетчики крутятся, а проблема все равно не решается. Может поможет кто дельным советом, т.к. в линуксе все намного проще??

Содержание

FreeBsd ограничение количества соединений,Admin, 11:42 , 22-Фев-05
- FreeBsd ограничение количества соединений,BuZZ, 11:50 , 22-Фев-05
  - FreeBsd ограничение количества соединений,BuZZ, 11:52 , 22-Фев-05
    - FreeBsd ограничение количества соединений,Admin, 23:53 , 22-Фев-05
      - FreeBsd ограничение количества соединений,Fill, 14:53 , 23-Фев-05

Сообщения в этом обсуждении

"FreeBsd ограничение количества соединений"
Отправлено Admin , 22-Фев-05 11:42

Неужто никто не подскажет ничего толкового?

"FreeBsd ограничение количества соединений"
Отправлено BuZZ , 22-Фев-05 11:50

>Неужто никто не подскажет ничего толкового?

To limit the number of connections a user can open you can use the fol-
lowing type of rules:
      ipfw add allow tcp from my-net/24 to any setup limit src-addr 10
      ipfw add allow tcp from any to me setup limit src-addr 4
The former (assuming it runs on a gateway) will allow each host on a /24
network to open at most 10 TCP connections.  The latter can be placed on
a server to make sure that a single client does not use more than 4
simultaneous connections.

"FreeBsd ограничение количества соединений"
Отправлено BuZZ , 22-Фев-05 11:52

>>Неужто никто не подскажет ничего толкового?
>
>
>To limit the number of connections a user can open you can
>use the fol-
>lowing type of rules:
>
>      ipfw add allow tcp from my-net/24
>to any setup limit src-addr 10
>      ipfw add allow tcp from any
>to me setup limit src-addr 4
>
>The former (assuming it runs on a gateway) will allow each host
>on a /24
>network to open at most 10 TCP connections.  The latter can
>be placed on
>a server to make sure that a single client does not use
>more than 4
>simultaneous connections.

если хочешь ограничить например количество одновременных соединений к твоему серверу на 80 порт, то
ipfw add allow tcp from any to me 80 setup limit dst-port 10

"FreeBsd ограничение количества соединений"
Отправлено Admin , 22-Фев-05 23:53

Вот только вопросик - это правило писать до или после диверта? А то что-то и в том, и в другом случае у меня счетчики на нуле стоят, хотя я ставлю ограничение а 1 подключение на 80 порт?

"FreeBsd ограничение количества соединений"
Отправлено Fill , 23-Фев-05 14:53

>Вот только вопросик - это правило писать до или после диверта? А
>то что-то и в том, и в другом случае у меня
>счетчики на нуле стоят, хотя я ставлю ограничение а 1 подключение
>на 80 порт?
Попрубуй limit использовать не с действием allow, а с skip-to. Тогда и перед дивертом их ставить можно будет.
Пример:
ipfw add 600 skipto 800 tcp from { ip } to {video_server} in limit src-addr 1
(ограничивает клиента с IP на одну сессию при обращении на video_server)
а потом спокойно сможешь и divert'ом, и allow все что нужно принимать, т.к. просмотр по правилам продолжится с 800 правила.
Проверено. Работает.
Совет: если через NAT большой трафик, используй ipnat, а не divert+natd.