is er een slimme manier waar op ik poortje 80 op mijn systeem kan rate limiten, zodat een ip-adres dat bijvoorbeeld >15 concurrent connections open gooit naar poort 80, automatisch ge-nullroute wordt?
zenks!
zenks!
/u/9273/crop576bd2537abe7_cropped.png?f=community)
Heb je zelf al wat research gepleegd, zoals de freebsd website 
"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson
:strip_icc():strip_exif()/u/19746/firewall.jpg?f=community)
duh, uiteraard, anders zou ik het hier toch niet vragen?Heb je zelf al wat research gepleegd, zoals de freebsd website
heb ik inderdaad naar gekeken, maar na een lange tijd google'n ben ik niet verder dan het bandwidth shapen van m'n interface, en dat is dus NIET de bedoeling... ik heb 100mbit tot m'n beschikking, en 't zou zonde zijn om dat af te knijpen op 20mbit om maar wat te noemen.
waar ik naar opzoek ben ik het volgende:
alles draait gewoon 'normaal', alleen als iemand >15 connecties opent naar port 80 op m'n FreeBSD, moet die persoon ge-nullroute worden.
Ik heb namelijk regelmatig lamers/leechers op m'n bak die met downloadmanagers (useragent gefaked) >150 connecties openen naar Apache, die kan dat allemaal wel aan, maar ik kan zo wel aan de gang blijven met 't ophogen van m'n MaxClients (en op een gegeven moment is m'n geheugen/cpu ook op)
mod_limitipconn werkt niet voor mij, de server heeft gemiddeld zo'n 300 downloads openstaan, en doet +/- 2 tot 3 requests/sec, zodat er echt helemaal geen cpu meer overblijft. (dit heb ik uiteraard uitvoerig getest, maar zonder die mod_limitipconn ben ik echt beter af)
ook mod_throttle is helaas geen oplossing bij dit probleem.
is dit echt op te lossen in ipfw, of moet ik naar een andere oplossing gaan zoeken?
Verwijderd
ja idd met ipfw kun je wel zulke opties inbouwen dacht ik..
je zou toch een rule kunnen maken die teld hoevaak iemand een een syn/ack stuurt en als dat hoger dan 15 is kun je het verder null-routen
misschien is een cron job ook een optie. die laat je alle 5min draaien en die verbreekt alle verbindingen die hoger dan 15 zijn
lijkt mij
je zou toch een rule kunnen maken die teld hoevaak iemand een een syn/ack stuurt en als dat hoger dan 15 is kun je het verder null-routen
misschien is een cron job ook een optie. die laat je alle 5min draaien en die verbreekt alle verbindingen die hoger dan 15 zijn
lijkt mij
[ Voor 74% gewijzigd door Verwijderd op 31-12-2002 14:38 ]
oke, maar waar zie ik dan hoeveel syn/acks er per ip gestuurd zijn?:
ja idd met ipfw kun je wel zulke opties inbouwen dacht ik..
je zou toch een rule kunnen maken die teld hoevaak iemand een een syn/ack stuurt en als dat hoger dan 15 is kun je het verder null-routen
misschien is een cron job ook een optie. die laat je alle 5min draaien en die verbreekt alle verbindingen die hoger dan 15 zijn
lijkt mij
voor zover ik weet is dat alleen te bewerkstelligen via tcpdump, en dat is nou niet echt cost-effective...
offtopic:
(overigens, men roept hier wel heel snel dat je zelf beter moet zoeken, terwijl ik toch echt m'n best gedaan heb...)
(overigens, men roept hier wel heel snel dat je zelf beter moet zoeken, terwijl ik toch echt m'n best gedaan heb...)
[ Voor 12% gewijzigd door Verwijderd op 31-12-2002 16:53 ]
:strip_exif()/u/7944/r-on.gif?f=community)
tis een dirty hack, maar dat maakt niet uit zolang 't werkt
ik heb nu de volgende ipfw regel (ik gebruik Fbsd 4.7 trouwens):
code:
1
| 02000 106 4808 pipe 10 tcp from any to any tcpflags syn,ack |
maarja, dat telt alleen de totale SYN/ACK's, en niet per ip ge-groupeerd oid...
hmm nou, momenteel gebruik ik een .htaccess file met +/- 1800 "Allow from" en dan een route, rechtstreeks uit onze Juniper M20 gehaald... zodat we dus alleen downloads toestaan over peeringroutes.
thttpd zou dan ook zoiets moeten aankunnen
Pagina: 1