LINUX.ORG.RU
ФорумAdmin

iptables: No chain/target/match by that name.

 ,


0

1 
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
iptables: No chain/target/match by that name.

iptables -t nat -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
iptables v1.4.21: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

В чем проблема? Как я могу ограничить лимит подключений с одного IP?

Ответ на: комментарий от BOOBLIK 
iptables -vL -t filter
Chain INPUT (policy ACCEPT 1519K packets, 237M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1533K packets, 213M bytes)
 pkts bytes target     prot opt in     out     source               destination
MrSullex ()
Ответ на: комментарий от MrSullex

Пробуй попинать их, т.к. 

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
точно должно работать при наличии модуля. Как вариант попробуй переписать это условие в синтаксисе -m recent с параметрами senconds и hitcount.

BOOBLIK ★★★ ()

в nat запрещен REJECT.

iptables  -A INPUT -p tcp --syn --dport 180 -m connlimit --connlimit-above 20 -j REJECT

добавляется без ошибок.

«grep connlimit /proc/net/ip_tables_matches» пустой ?

vel ★★★★★ ()
Ответ на: комментарий от MrSullex

значит не загружен модуль xt_connlimit

если modprobe xt_connlimit ругается значит либое его забыли положить, либо ядро собрано без него.

«zgrep -i connlim /proc/config.gz» что говорит ?

vel ★★★★★ ()
Ответ на: комментарий от MrSullex

nat не для того, чтобы там REJECT делать. Вся фильтрация в таблице filter

anonymous ()
Ответ на: комментарий от vel

В support сказали что поддержка nat стоит 10 евро. Можно ли как то без этого обойтись? Без nat тоже выдает ошибку

iptables: No chain/target/match by that name.
MrSullex ()
Ответ на: комментарий от MrSullex

так у тебя же первая команда была правильно написана. Но без поддержки в ядре conntack оно не будет работать. modprobe xt_connlimit работает без ошибок (должно молча отработать)?

vel ★★★★★ ()

В чем проблема?

В том что используется впска на OpenVZ наверняка, где не прокинули нужные модули для таблетки.

Amet13 ★★★★★ ()
Ответ на: комментарий от vel

Как угодно, лижбы работало. Ибо сайт ддосят и ддосят, ебаная школота. со школы приходят и сайт ложится. На старой панели у меня работал ddos deflate а тут нихуя. Сори за мат, просто заеб уже.

MrSullex ()
Ответ на: комментарий от MrSullex

хехе.

а hashlimit ( modprobe xt_hashlimit ) есть ? Через него можно ограничить число syn-ков для начала

А ddos deflate почему не работает ? Он же совсем простой и для работы ему ничего не нужно.

vel ★★★★★ ()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от vel

ddos deflate не анбанит ип из игнор листа.

modprobe xt_hashlimit
modprobe: ERROR: ../libkmod/libkmod.c:508 kmod_lookup_alias_from_builtin_file() could not open builtin file '/lib/modules/2.6.32-042stab108.8/modules.builtin.bin'
modprobe: FATAL: Module xt_hashlimit not found.
MrSullex ()
Ответ на: комментарий от MrSullex

Последнее сообщение было от автора ddos deflate в ответ на ваше же про невозможность удаления записи из iptables, вы же в своей манере показали пустой лист да еще и приписали что перезапустили его.

anc ★★★★★ ()
Ответ на: комментарий от anc

я объяснил, что там были IP из игнор листа. Как я могу не очистить, если у меня сайт из за этого лежал.

MrSullex ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin