LINUX.ORG.RU
ФорумAdmin

iptables: No chain/target/match by that name.

 ,


0

1
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
iptables: No chain/target/match by that name.
iptables -t nat -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
iptables v1.4.21: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

В чем проблема? Как я могу ограничить лимит подключений с одного IP?

Ответ на: комментарий от BOOBLIK
iptables -vL -t filter
Chain INPUT (policy ACCEPT 1519K packets, 237M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1533K packets, 213M bytes)
 pkts bytes target     prot opt in     out     source               destination
MrSullex
() автор топика
Ответ на: комментарий от MrSullex

Пробуй попинать их, т.к.

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
точно должно работать при наличии модуля. Как вариант попробуй переписать это условие в синтаксисе -m recent с параметрами senconds и hitcount.

BOOBLIK ★★★
()

в nat запрещен REJECT.

iptables  -A INPUT -p tcp --syn --dport 180 -m connlimit --connlimit-above 20 -j REJECT

добавляется без ошибок.

«grep connlimit /proc/net/ip_tables_matches» пустой ?

vel ★★★★★
()
Ответ на: комментарий от MrSullex

значит не загружен модуль xt_connlimit

если modprobe xt_connlimit ругается значит либое его забыли положить, либо ядро собрано без него.

«zgrep -i connlim /proc/config.gz» что говорит ?

vel ★★★★★
()
Ответ на: комментарий от MrSullex

nat не для того, чтобы там REJECT делать. Вся фильтрация в таблице filter

anonymous
()
Ответ на: комментарий от vel

В support сказали что поддержка nat стоит 10 евро. Можно ли как то без этого обойтись? Без nat тоже выдает ошибку

iptables: No chain/target/match by that name.
MrSullex
() автор топика
Ответ на: комментарий от MrSullex

так у тебя же первая команда была правильно написана. Но без поддержки в ядре conntack оно не будет работать. modprobe xt_connlimit работает без ошибок (должно молча отработать)?

vel ★★★★★
()

В чем проблема?

В том что используется впска на OpenVZ наверняка, где не прокинули нужные модули для таблетки.

Amet13 ★★★★★
()
Ответ на: комментарий от vel

Как угодно, лижбы работало. Ибо сайт ддосят и ддосят, ебаная школота. со школы приходят и сайт ложится. На старой панели у меня работал ddos deflate а тут нихуя. Сори за мат, просто заеб уже.

MrSullex
() автор топика
Ответ на: комментарий от MrSullex

хехе.

а hashlimit ( modprobe xt_hashlimit ) есть ? Через него можно ограничить число syn-ков для начала

А ddos deflate почему не работает ? Он же совсем простой и для работы ему ничего не нужно.

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от vel

ddos deflate не анбанит ип из игнор листа.

modprobe xt_hashlimit
modprobe: ERROR: ../libkmod/libkmod.c:508 kmod_lookup_alias_from_builtin_file() could not open builtin file '/lib/modules/2.6.32-042stab108.8/modules.builtin.bin'
modprobe: FATAL: Module xt_hashlimit not found.
MrSullex
() автор топика
Ответ на: комментарий от anc

я показал все что просили. что вы несете? никто не помог. ту тему можно крыть,она бессмыслена, решений нет.

MrSullex
() автор топика
Ответ на: комментарий от MrSullex

Последнее сообщение было от автора ddos deflate в ответ на ваше же про невозможность удаления записи из iptables, вы же в своей манере показали пустой лист да еще и приписали что перезапустили его.

anc ★★★★★
()
Ответ на: комментарий от anc

я объяснил, что там были IP из игнор листа. Как я могу не очистить, если у меня сайт из за этого лежал.

MrSullex
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.