iptables hashlimit Результат не соотв. ожиданиям.

0

0

Ограничиваю кол-во запросов/сек к прокси

-A INPUT -p tcp -m hashlimit --hashlimit 10/sec --hashlimit-burst 1  --hashlimit-mode srcip --hashlimit-name PROXY_DOS -m tcp --dport $PROXY_PORT -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport $PROXY_PORT -m state --state NEW -j LOG
-A INPUT -p tcp -m tcp --dport $PROXY_PORT -m state --state NEW -j DROP

Однако я вижу source IP создающие до 2700 соединений в минуту (45 соединений в секунду)

Что я делаю не так?

Ссылка

←	Amavisd-new

СЗ Телеком && PON && Huawei EchoLife HG 850a

→

--hashlimit 10/sec <<<

в твоем случае нужно --hashlimit-upto 10/sec , так как в правиле действие ACCEPT

Cosmicman ★★
(23.03.10 11:30:01 MSK)

Ответ на: комментарий от Cosmicman 23.03.10 11:30:01 MSK

Пробовал вчера — облом, на RHEL-5.3 этого нет.

~~sdio~~ ★★★★★
(23.03.10 11:33:58 MSK) автор топика

Ссылка

Вроде должно работать, смотрите счетчики iptables, добавьте правила для этих определённых ip адресов. Может почему то у вас $PROXY_PORT считается не NEW, а RELATED. В /proc/net/ipt_hashlimit/PROXY_DOS что-то попадает?

mky ★★★★★
(23.03.10 22:25:31 MSK)

Ответ на: комментарий от mky 23.03.10 22:25:31 MSK

Все счетчики увеличиваются, т.е. и ACCEPT и DROP срабатывают.
В /proc/net/ipt_hashlimit/PROXY_DOS попадают записи. Днем смотрел было порядка 150 записей.

Я на --hashlimit-burst грешил. Сначала он по-дефолту был 5, так доходили показатели до 35000 коннектов в минуту, кстати долбили сайт lib.rus.ec (не намерено, уверен откуда-то подгрузили javascript)

~~sdio~~ ★★★★★
(24.03.10 01:03:21 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Amavisd-new

Admin

СЗ Телеком && PON && Huawei EchoLife HG 850a

→

Похожие темы