The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Как запретить открывать более 30 соединений с одного IP 
Запретим более 30 коннектов для 80 порта сервера 1.2.3.4.
    ipfw add allow tcp from any to 1.2.3.4 80 limit src-addr 30
    ipfw add allow tcp from any to 1.2.3.4 80 via fxp0 setup limit src-addr 10
Вместо src-addr можно использовать src-port, dst-addr, dst-port
Конструкция работает в последних версиях FreeBSD 4.x ветки.
 
30.04.2002
Ключи: tcp, ipf, limit, freebsd, port, ip, x, ipfw / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Обсуждение [ RSS ]
  • 1.1, artem (?), 08:17, 26/11/2002 [ответить]  
    		• +/
    Попробовал ограничить число соединений на FreeBSD 4.4:

    ipfw add 100 192.168.1.1 to 192.168.1.2 80 limit src-addr 10
    ipfw: error: unknown argument ''limit''
    Может в ядре чтото включить, или версия не та ?
    В LINT-е ничего похожего

     
     
  • 2.2, uldus (?), 09:35, 26/11/2002 [^] [^^] [^^^] [ответить]  
    		• +/
    >Попробовал ограничить число соединений на FreeBSD 4.4:
    >
    >ipfw add 100 192.168.1.1 to 192.168.1.2 80 limit src-addr 10
    >ipfw: error: unknown argument ''limit''

    Насколько я помню, такое впервые появилось в FreeBSD 4.5.

     

  • 1.3, Тошик (??), 20:58, 03/06/2004 [ответить]  
    		• +/
    а что значит : limit src-addr 10
     
  • 1.4, User (??), 00:40, 30/07/2004 [ответить]  
    		• +/
    А для iptables, что можно сделать?
     
     
  • 2.5, rost (?), 01:37, 02/08/2004 [^] [^^] [^^^] [ответить]  
    		• +/
    -m connlimit
     

  • 1.6, Berserker (?), 12:28, 18/04/2005 [ответить]  
    		• +/
    млин
    а запрщать кто будет все остально ?
    Т.е. полный вариант будет

    ipfw add allow tcp from any to 1.2.3.4 80 setup limit src-addr 30
    ipfw add deny  tcp from any to 1.2.3.4 80 setup setup

     
     
  • 2.8, Сергей Сичевский (?), 00:46, 07/10/2007 [^] [^^] [^^^] [ответить]  
    		• +/
    Запрещающих правил точно не надо ;-)
    Правило интерпретируется так: "разрешить все соединения с лимитом сессий 30"
    (остальные setup-ы дропнутся)

    Только после этого обработка остальных правил завершается.
    А если надо, например, еще вкинуть эти адреса в диверт то предлагаю такой вариант:

    /sbin/ipfw add 1 skipto 2 tcp from 172.16.0.0/12 to any setup limit src-addr 20
    /sbin/ipfw add 10 divert natd ip from 172.16.0.0/12 to any

     

  • 1.7, denis korolev (?), 04:15, 05/12/2005 [ответить]  
    		• +/
    pipe 1099 config bw 640kbit/s
    add pipe 1099 all from any to 10.10.126.99 in via rl0
    работает нормально

    pipe 1099 config bw 640kbit/s
    add pipe 1099 all from any to 10.10.126.99 in via rl0 limit src-addr 5
    скорость падает в два раза

    почему???

    freebsd 5.xxx

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру