7 odpovědí na toto téma

[pepa.z.pocernic]

Nevíte někdo, jak u apache omezit počet současných připojení z jedné ip?

[ToRo61]

experimentoval jsem cca před rokem s
např. http://www.cohprog.c..._bandwidth.html
http://www.topology....are/README.html

[R4ZoR]

http://httpd.apache....urity_tips.html
Taktiež by som problematické IPčky zablokoval.
A doporučujem si tiež prečítať o slowloris, ktorý postihuje aj Apache.

[zLOST]

neco jako:

iptables -A INPUT -i eth0 -p tcp --dport 80 -m connlimit --connlimit-above 25 --connlimit-mask 32 -j DROP
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

akroat potrebujes par modulu k iptables - nv_conntrack_ipv4, xt_connlimit, xt_state

[zLOST]

takhle to sejmes jeste pred tim, nez by se indiani vubec museli zvedat z bizonich kuzi...

[pepa.z.pocernic]

nevim, jestli je taková agresivita žádoucí. Hodilo by se něco, co by mělo podobný význam jako MaxClients, ale na jednu ip adresu

[zLOST]

vsak tohle ti proste omezi pocet soucasnych spojeni z dane ip/rozsahu na danej port. predpokladam, ze by se to dalo krouhat i podle prutoku, ale to uz jsem nezkoumal

[semik75]

To co navrhuje zLOST je velice efektivni. Kernel to udela radove levneji nez kdyz to bude delat Apache.

Mozna bych zvazil nahrazeni toho DROP za REJECT... tedy pokud nemas podezreni ze se nejaky picus bavi tim ze server pretezuje. Nekdy minuly tyden na root.cz vysla zpravicka o nejakem toolu ktery Apache umoznuje hodne levne sejmnout, vyuziva toho ze otrevre hodne spojeni a zoufale pomalu odesila svuj pozadavek. Myslim ze si s tim par lidi ted bude hrat.. to za tyden dva odezni.


edit: ano o http://ha.ckers.org/slowloris/ se myslim psalo...