Должен я пакеты ограничения скорости с iptables?
Добавьте сервер DNS к своей сети и создайте записи для site1.devmachine.local и т.д.
Заставьте свою dev машину использовать этот сервер DNS.
Это могло бы быть излишеством все же. Вы могли более легко добавить записи в файл hosts в c:\WINDOWS\system32\drivers\etc. Это находится на Вашем devmachine только.
Добавьте записи как это:
192.168.1.22 site1.devmachine.local
192.168.1.22 site2.devmachine.local
192.168.1.22 site3.devmachine.local
Ограничение скорости не является предупреждением, а скорее приглашение к DoS - особенно в представленном выше варианте, когда пакеты будут отбрасываться, если определенная скорость неаутентифицированных пакетов без информации о состоянии была превышена. Поскольку каждый может подделывать пакеты (включая исходные IP-адреса) в этом состоянии соединения без особых усилий, возникнет новый вектор DoS-атаки, использующий ваше средство ограничения скорости.
Обычно ограничение скорости имеет смысл только в том случае, если у вас есть
- предсказуемое жесткое или мягкое ограничение на подключение в вашей конфигурации.
- установить ограничение скорости для общего трафика ниже этого лимита, чтобы иметь возможность настроить соединения для приоритетного или административного трафика независимо от нагрузки
Хотя 1. часто бывает достаточно сложно определить, чтобы даже беспокоиться, 2. очевидно, что он будет работать только в том случае, если вы сможете надежно отличить «приоритетный или административный» трафик от остального при подключении настройка - например, если он поступает через другой сетевой интерфейс.
В других случаях это скорее снизит отказоустойчивость вашей системы, чем повысит ее.
часто бывает достаточно сложно определить, чтобы даже беспокоиться, 2. очевидно, что он будет работать только в том случае, если вы сможете надежно отличить «приоритетный или административный» трафик от остального при установке соединения - например, если он проходит через другой сетевой интерфейс.В других случаях это скорее снизит отказоустойчивость вашей системы, чем повысит ее.
часто бывает достаточно сложно определить, чтобы даже беспокоиться, 2. очевидно, что он будет работать, только если вы сможете надежно отличить «приоритетный или административный» трафик от остального при настройке соединения - например, если он проходит через другой сетевой интерфейс.В других случаях это скорее снизит отказоустойчивость вашей системы, чем повысит ее.
Я обычно ограничиваю правила ограничения скорости серверами, которые я ожидаю иметь:
- низкий ожидаемый объем трафика
- службы аутентификации
Например, страницу входа в панель управления хостингом, POP3, IMAP, SSH и т. д. Я обычно оставляю службы HTTP полностью открытыми и блокирую их только при наличии вопрос.
Вы не хотите терять хороший веб-трафик. Ссылка на slashdot может отправить вам тонны трафика, и с глобальными правилами вы можете не осознавать проблему.
Что касается поддельных IP-адресов, их нельзя заблокировать с помощью этого метода и обычно не вызывает беспокойства, поскольку эти правила в основном сосредоточены на ограничение установленных TCP-соединений. С поддельным IP-адресом невозможно установить TCP-соединение.
Проблема с параметром -m limit заключается в ограничении всех TCP-пакетов независимо от исходных IP-адресов. Итак, если у вас есть низкое ограничение для пакетов syn, например
-A INPUT -p tcp --syn -m limit --limit 30/s --limit-burst 30 -j ACCEPT
-A INPUT -p tcp --syn -j DROP
, только один клиент с командной строкой hping может отключить ваш сервер, отправив столько пакетов tcp с флагом SYN, потому что правило ограничения будет совпадать, и он сбросит много пакетов независимо от IP-адреса источников. лимит не делает разницы между хорошим и плохим трафиком. Это также отключит хороший входящий трафик.
hping может выглядеть примерно так:
hping thetargetedhostip -p 80 -S -c 1000 -i u20000
Лучше использовать hashlimit для ограничения входящих TCP-соединений на IP-адрес . Следующее правило будет соответствовать только в том случае, если будет получено 30 пакетов в секунду, уменьшив количество разрешенных пакетов на IP до 15 пакетов в секунду.
-A INPUT -p tcp --syn -m hashlimit --hashlimit 15/s --hashlimit-burst 30 --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-name synattack -j ACCEPT
-A INPUT -p tcp --syn -j DROP
Фактически,Я УБЕЖДЕН, что многие серверы, которые сегодня отключены, не работают из-за отсутствия ресурсов во время атаки, а из-за того, что модуль ограничения отбрасывает весь входящий трафик.