[linux] http + iptables-connlimit
Lubomir Host
rajo na platon.sk
Úterý Březen 14 21:51:21 CET 2006
On Tue, Mar 14, 2006 at 09:39:11PM +0100, Miroslav Jany wrote:
> Ahojte,
>
> pouzivate niekto iptables-connlimit match v suvislosti s filtrovanim
> HTTP requestov, napr. na ochranu proti DoS utokom?
>
> Aku hodnotu pri "--connlimit-above" je podla vas vhodne pouzit?
> Diky za akekolvek napady :)
Toto by sa aj mne hodilo, ale zatial to mam poriesene inac. Na porte 81
je pusteny lighthttpd nakonfigurovany tak specialne, ze na kazdy request
odpovie statickym HTML dokumentom (info o tom, ze bol bloknuty, ziadna
dalsia linka niekam inam, bez obrazku, ...).
Ak sa rozhodnem niektoreho klienta odstavit (napr. pusteny wget -r -l
0), tak pravidlo:
$IPTABLES -t nat -A PREROUTING -p TCP -i $iface -s $remote_ip -d $ip
--dport $from_port -j REDIRECT --to-port $to_port
ho prepne na lighttpd a uz si u mna ziadnu stranku nepozrie. Dolezite
je, ze dostane infomaciu o tom, ze bol odstaveny.
Pravda, na DoS utok musi v tomto pripade reagovat admin a reagovat velmi
velmi rychlo ... :-/ Mozno to poriesim nejakym logwatchom ...
rajo
--
Lubomir Host 'rajo' <rajo AT platon.sk> ICQ #: 257322664 ,''`.
Platon Group http://platon.sk/ : :' :
Homepage: http://rajo.platon.sk/ `. `'
http://www.gnu.org/philosophy/no-word-attachments.html `-
Další informace o konferenci linux