LINUX.ORG.RU
ФорумAdmin

iptables hashlimit Результат не соотв. ожиданиям.


0

0

Ограничиваю кол-во запросов/сек к прокси

-A INPUT -p tcp -m hashlimit --hashlimit 10/sec --hashlimit-burst 1  --hashlimit-mode srcip --hashlimit-name PROXY_DOS -m tcp --dport $PROXY_PORT -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport $PROXY_PORT -m state --state NEW -j LOG
-A INPUT -p tcp -m tcp --dport $PROXY_PORT -m state --state NEW -j DROP

Однако я вижу source IP создающие до 2700 соединений в минуту (45 соединений в секунду)

Что я делаю не так?

★★★★★

--hashlimit 10/sec <<<


в твоем случае нужно --hashlimit-upto 10/sec , так как в правиле действие ACCEPT

Cosmicman ★★ ()
Ответ на: комментарий от Cosmicman

Пробовал вчера — облом, на RHEL-5.3 этого нет.

sdio ★★★★★ ()

Вроде должно работать, смотрите счетчики iptables, добавьте правила для этих определённых ip адресов. Может почему то у вас $PROXY_PORT считается не NEW, а RELATED. В /proc/net/ipt_hashlimit/PROXY_DOS что-то попадает?

mky ★★★★★ ()
Ответ на: комментарий от mky

Все счетчики увеличиваются, т.е. и ACCEPT и DROP срабатывают.
В /proc/net/ipt_hashlimit/PROXY_DOS попадают записи. Днем смотрел было порядка 150 записей.

Я на --hashlimit-burst грешил. Сначала он по-дефолту был 5, так доходили показатели до 35000 коннектов в минуту, кстати долбили сайт lib.rus.ec (не намерено, уверен откуда-то подгрузили javascript)

sdio ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.