Limita i pacchetti al secondo

Naviga le tue risposte
2

Dalla settimana scorsa ho visto qualcosa di strano e sembra che stia peggiorando. Ho provato molti firewall e sembrano essere inutili. Ho bloccato tutte le porte indesiderate e solo poche porte sono aperte, quindi ho scoperto che il mio VPS si bloccava quando i pacchetti al secondo avevano superato i 20k. Voglio sapere se c'è un modo per limitare i pps sulle porte aperte e respingere tutte le altre connessioni alla porta finché il pps non si abbassa a 10k.

Forse questo è stato discusso, o sarà disponibile in Google, ma non riesco a trovare (se questo tipo termina) e ho trovato solo questo: 

iptables -I INPUT -p tcp --dport 1234 -m hashlimit --hashlimit-mode srcip,srcport --hashlimit-name HASHNAME --hashlimit-htable-max 5000 --hashlimit-htable-expire 10000 --hashlimit-above 5/sec -j DROP

Ma non so cosa significhi questa regola.

    
posta WMax 16.12.2014 - 17:59
fonte

2 risposte

2

È possibile limitare le connessioni tramite blocchi di rete, ad es. scegli una dimensione come una classe C (256 IP) e quindi limita ogni classe C che ti connette per dire 10 connessioni per blocco di IP. A meno che un utente malintenzionato si trovi nella stessa classe C di te (improbabile), sarai in grado di connetterti ancora. Per farlo usa l'opzione "--connlimit-mask", spiegata in:

link

Un esempio per limitare l'accesso alla porta del tuo server SSH sarebbe: 

iptables -p tcp --syn --dport 22 \
-m connlimit \ 
--connlimit-above 10 \
--connlimit-mask 24 \
-j REJECT

Quindi prima specifichiamo il protocollo TCP, poi i pacchetti SYN (inizio connessione) e una porta destinazione 22. Quindi usiamo il modulo limite connessione, limitiamolo a 10 connessioni per ogni blocco di rete con una maschera di rete di / 24 ( una classe C con 256 IP).

    
risposta data 26.10.2015 - 21:58
fonte
2

Sono un po 'sospettoso della tua diagnosi della causa dei blocchi, ma se questo è il caso, allora la domanda è fuori discussione qui e la mia prima scelta per un'azione correttiva sarebbe cercare un diverso servizio di hosting (o chiedere le persone che forniscono il servizio corrente per risolvere il problema).

Sì, Linux ha funzionalità limitate di gestione dei tassi all'interno di iptables e ha anche una sofisticata gestione del traffico basata sul QOS (non si possono realmente collegare le due) strutture ma queste non hanno alcun effetto sulla velocità con cui i pacchetti arrivano al proprio host, solo la tariffa che lasciano.

    
risposta data 26.12.2015 - 21:06
fonte

Leggi altre domande sui tag

Perché non posso caricare una nuova chiave ECC sui server chiave, che è supportata da GnuPG 2.1? Perché Google Chrome si lamenta dell'identità di mozilla.org?