Вопросы Теги

Контроль трафика в маршрутизаторе Linux для syn-лавинной-рассылки

Возможно, netstat был бы лучше, потому что порт не мог бы слушать на localhost, или он мог бы быть заблокирован iptables:

netstat -ln  | grep :14881
echo $?

Grep выйдет с 1, если там не будет идти ни в какое сравнение. Если Вы хотите просто tcp и/или udp, добавьте-u, или-t переключается на netstat.

1
задан 10 February 2010 в 10:26
2 ответа

С веб-сайта:


iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p tcp --syn -j LOG
iptables -A INPUT -p tcp --syn -j DROP
1
ответ дан 4 December 2019 в 02:13
  • 1
    Извините, it' s маршрутизатор, не заключительный сервер. Мы используем ВПЕРЕД правила. It' s для тысячи клиента, мы can' t ограничивают с 10/с, it' s hashlimit с разбивкой по источникам и с пределом +4000/minute соединение IP. Но для некоторой большой сети предел 10000/минута легок. –  Matthieu 10 February 2010 в 20:21
  • 2
    iptables может также быть применен к передаче правил. Попробуйте iptables -A FORWARD -p tcp --syn -m limit --limit 100/s --limit-burst 50 -j ACCEPT; ВПЕРЕД цепочка для пакетов, которые были направлены а не для локальной доставки. См. статью Wikipedia о " iptables". –  PP. 11 February 2010 в 12:53
  • 3
    Вы don' t понимают, мы уже читаем страницы справочника, книги по netfilter. Мы уже используем - предел, - разорванный пределом. Мы пишем некоторые правила как это: iptables-A connlimit-s XXX.XXX. $a.0/24-m hashlimit - hashlimit-выше 4000/минута - hashlimit-режим srcip - hashlimit-пакет 100 - hashlimit-htable-size 500 - hashlimit-htable-max 500 - hashlimit-называют СПЕКУЛЯНТА - $a-j drophash (и it' s уже работающий.), Но, то, что мы должны скорректировать, hashlimit-выше, и мы должны оценить значение для большого сетевого соединения. Как мы можем контролировать, количество соединения требуют некоторой сетью? –  Matthieu 11 February 2010 в 14:13

Ответ PP довольно хорош, но Вы не можете хотеть реализовывать правило "ОТБРАСЫВАНИЯ" в конце, пока Вы не уверены в трафике, который Вы отбрасываете. Контролируйте правило ЖУРНАЛА и проверьте, что Вы не отбрасываете правомерный трафик.

Если Вы волнуетесь по поводу syn-лавинных-рассылок, можно хотеть посмотреть на включение syn-cookie. Cookie Syn смягчают проблему заполнения Вашей таблицы соединений с полуоткрытыми соединениями. Хорошее описание по http://cr.yp.to/syncookies.html

0
ответ дан 4 December 2019 в 02:13

Теги

Похожие вопросы