match by that name.

0

1

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
iptables: No chain/target/match by that name.

iptables -t nat -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
iptables v1.4.21: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

В чем проблема? Как я могу ограничить лимит подключений с одного IP?

Ссылка

←	Запрос MYSQL

Аналог proxy_set_header Host $host;

→

в цепочке INPUT нет таблицы nat

BOOBLIK ★★★★
(22.03.16 17:22:04 MSK)

Ответ на: комментарий от BOOBLIK 22.03.16 17:22:04 MSK

Это все хорошо, но без nat тоже выдает ошибку.

MrSullex
(22.03.16 17:25:22 MSK) автор топика

Ответ на: комментарий от MrSullex 22.03.16 17:25:22 MSK

а iptables -vL -t filter что показывает? Там цепочка input вообще присутствует?

BOOBLIK ★★★★
(22.03.16 17:29:22 MSK)

Ответ на: комментарий от BOOBLIK 22.03.16 17:29:22 MSK

iptables -vL -t filter
Chain INPUT (policy ACCEPT 1519K packets, 237M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1533K packets, 213M bytes)
 pkts bytes target     prot opt in     out     source               destination

MrSullex
(22.03.16 17:33:45 MSK) автор топика

Ссылка

Ответ на: комментарий от MrSullex 22.03.16 17:25:22 MSK

может нет модуля connlimit у тебя? insmod ipt_connlimit.ko попробуй

Davyd ★★
(22.03.16 17:34:39 MSK)

Ответ на: комментарий от Davyd 22.03.16 17:34:39 MSK

может это потому что у меня VDS? Может в суппорт написать?

MrSullex
(22.03.16 17:38:02 MSK) автор топика

Ответ на: комментарий от MrSullex 22.03.16 17:38:02 MSK

Пробуй попинать их, т.к.

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT

точно должно работать при наличии модуля. Как вариант попробуй переписать это условие в синтаксисе -m recent с параметрами senconds и hitcount.

BOOBLIK ★★★★
(22.03.16 17:43:56 MSK)

Ссылка

Ответ на: комментарий от BOOBLIK 22.03.16 17:22:04 MSK

Есть. Появилась не так давно.

vel ★★★★★
(22.03.16 18:29:58 MSK)

Ссылка

в nat запрещен REJECT.

iptables  -A INPUT -p tcp --syn --dport 180 -m connlimit --connlimit-above 20 -j REJECT

добавляется без ошибок.

«grep connlimit /proc/net/ip_tables_matches» пустой ?

vel ★★★★★
(22.03.16 18:32:48 MSK)

Ответ на: комментарий от vel 22.03.16 18:32:48 MSK

Ничего не выдает grep connlimit /proc/net/ip_tables_matches.

MrSullex
(22.03.16 18:37:02 MSK) автор топика

Ответ на: комментарий от vel 22.03.16 18:32:48 MSK

А что делать если в nat запрещен reject?

MrSullex
(22.03.16 18:39:35 MSK) автор топика

Ответ на: комментарий от MrSullex 22.03.16 18:37:02 MSK

значит не загружен модуль xt_connlimit

если modprobe xt_connlimit ругается значит либое его забыли положить, либо ядро собрано без него.

«zgrep -i connlim /proc/config.gz» что говорит ?

vel ★★★★★
(22.03.16 18:41:39 MSK)

Ссылка

Ответ на: комментарий от MrSullex 22.03.16 18:39:35 MSK

nat не для того, чтобы там REJECT делать. Вся фильтрация в таблице filter

anonymous
(22.03.16 18:49:58 MSK)

Ссылка

Ответ на: комментарий от MrSullex 22.03.16 18:39:35 MSK

там DROP можно. Но зачем ?

Дропать нужно либо в raw, либо в filter.

vel ★★★★★
(22.03.16 19:06:20 MSK)

Ответ на: комментарий от vel 22.03.16 19:06:20 MSK

В support сказали что поддержка nat стоит 10 евро. Можно ли как то без этого обойтись? Без nat тоже выдает ошибку

iptables: No chain/target/match by that name.

MrSullex
(23.03.16 08:06:20 MSK) автор топика

Ответ на: комментарий от MrSullex 23.03.16 08:06:20 MSK

а зечем тебе nat ?

тебе conntrack нужен.

vel ★★★★★
(23.03.16 09:44:37 MSK)

Ответ на: комментарий от vel 23.03.16 09:44:37 MSK

Можете пожалуйста помочь команду составить? Чтобы ограничить подключения с одного IP.

MrSullex
(23.03.16 15:39:51 MSK) автор топика

Ответ на: комментарий от MrSullex 23.03.16 15:39:51 MSK

так у тебя же первая команда была правильно написана. Но без поддержки в ядре conntack оно не будет работать. modprobe xt_connlimit работает без ошибок (должно молча отработать)?

vel ★★★★★
(23.03.16 15:49:43 MSK)

В чем проблема?

В том что используется впска на OpenVZ наверняка, где не прокинули нужные модули для таблетки.

~~Amet13~~ ★★★★★
(23.03.16 15:59:49 MSK)

Ссылка

Ответ на: комментарий от vel 23.03.16 15:49:43 MSK

Как угодно, лижбы работало. Ибо сайт ддосят и ддосят, ебаная школота. со школы приходят и сайт ложится. На старой панели у меня работал ddos deflate а тут нихуя. Сори за мат, просто заеб уже.

MrSullex
(23.03.16 16:15:19 MSK) автор топика

Ответ на: комментарий от MrSullex 23.03.16 16:15:19 MSK

хехе.

а hashlimit ( modprobe xt_hashlimit ) есть ? Через него можно ограничить число syn-ков для начала

А ddos deflate почему не работает ? Он же совсем простой и для работы ему ничего не нужно.

vel ★★★★★
(23.03.16 16:24:33 MSK)
Последнее исправление: vel 23.03.16 16:24:47 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 23.03.16 16:24:33 MSK

ddos deflate не анбанит ип из игнор листа.

modprobe xt_hashlimit
modprobe: ERROR: ../libkmod/libkmod.c:508 kmod_lookup_alias_from_builtin_file() could not open builtin file '/lib/modules/2.6.32-042stab108.8/modules.builtin.bin'
modprobe: FATAL: Module xt_hashlimit not found.

MrSullex
(23.03.16 16:30:23 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 23.03.16 16:24:33 MSK

Да он просто клоун, его просят показать конкретные вещи он делает что-то другое и такая «дребедень целый» день :)
Кто создатель ddos-deflate

anc ★★★★★
(23.03.16 16:37:21 MSK)

Ответ на: комментарий от anc 23.03.16 16:37:21 MSK

я показал все что просили. что вы несете? никто не помог. ту тему можно крыть,она бессмыслена, решений нет.

MrSullex
(23.03.16 16:41:49 MSK) автор топика

Ответ на: комментарий от MrSullex 23.03.16 16:41:49 MSK

Последнее сообщение было от автора ddos deflate в ответ на ваше же про невозможность удаления записи из iptables, вы же в своей манере показали пустой лист да еще и приписали что перезапустили его.

anc ★★★★★
(23.03.16 16:58:50 MSK)