[linux] http + iptables-connlimit
stab
stab na unknown.sk
Úterý Březen 21 11:47:07 CET 2006
cawko
skus si pozriet toto :
http://www.modsecurity.org/
http://dominia.org/djao/limitipconn.html
s.
Lubomir Host wrote:
> On Tue, Mar 14, 2006 at 09:39:11PM +0100, Miroslav Jany wrote:
>> Ahojte,
>>
>> pouzivate niekto iptables-connlimit match v suvislosti s filtrovanim
>> HTTP requestov, napr. na ochranu proti DoS utokom?
>>
>> Aku hodnotu pri "--connlimit-above" je podla vas vhodne pouzit?
>> Diky za akekolvek napady :)
>
> Toto by sa aj mne hodilo, ale zatial to mam poriesene inac. Na porte 81
> je pusteny lighthttpd nakonfigurovany tak specialne, ze na kazdy request
> odpovie statickym HTML dokumentom (info o tom, ze bol bloknuty, ziadna
> dalsia linka niekam inam, bez obrazku, ...).
>
> Ak sa rozhodnem niektoreho klienta odstavit (napr. pusteny wget -r -l
> 0), tak pravidlo:
>
> $IPTABLES -t nat -A PREROUTING -p TCP -i $iface -s $remote_ip -d $ip
> --dport $from_port -j REDIRECT --to-port $to_port
>
> ho prepne na lighttpd a uz si u mna ziadnu stranku nepozrie. Dolezite
> je, ze dostane infomaciu o tom, ze bol odstaveny.
>
> Pravda, na DoS utok musi v tomto pripade reagovat admin a reagovat velmi
> velmi rychlo ... :-/ Mozno to poriesim nejakym logwatchom ...
>
> rajo
>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> https://lists.linux.sk/mailman/listinfo/linux
> Prehladavanie archivu: http://search.lists.linux.sk
> Meta FAQ: http://www.sklug.sk/lists/linux/metafaq.html
Další informace o konferenci linux