Nevíte někdo, jak u apache omezit počet současných připojení z jedné ip?
nastavení apache
Vytvořeno od
pepa.z.pocernic
, čen 02 2011 19:22
7 odpovědí na toto téma
#1
Publikováno 02 červen 2011 - 19:22
#2
Publikováno 02 červen 2011 - 19:27
experimentoval jsem cca před rokem s
např. http://www.cohprog.c..._bandwidth.html
http://www.topology....are/README.html
např. http://www.cohprog.c..._bandwidth.html
http://www.topology....are/README.html
#3
Publikováno 02 červen 2011 - 19:42
http://httpd.apache....urity_tips.html
Taktiež by som problematické IPčky zablokoval.
A doporučujem si tiež prečítať o slowloris, ktorý postihuje aj Apache.
Taktiež by som problematické IPčky zablokoval.
A doporučujem si tiež prečítať o slowloris, ktorý postihuje aj Apache.
#4
Publikováno 02 červen 2011 - 20:00
neco jako:
akroat potrebujes par modulu k iptables - nv_conntrack_ipv4, xt_connlimit, xt_state
iptables -A INPUT -i eth0 -p tcp --dport 80 -m connlimit --connlimit-above 25 --connlimit-mask 32 -j DROP iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
akroat potrebujes par modulu k iptables - nv_conntrack_ipv4, xt_connlimit, xt_state
#5
Publikováno 02 červen 2011 - 20:02
takhle to sejmes jeste pred tim, nez by se indiani vubec museli zvedat z bizonich kuzi...
#6
Publikováno 02 červen 2011 - 20:04
nevim, jestli je taková agresivita žádoucí. Hodilo by se něco, co by mělo podobný význam jako MaxClients, ale na jednu ip adresu
#7
Publikováno 02 červen 2011 - 20:06
vsak tohle ti proste omezi pocet soucasnych spojeni z dane ip/rozsahu na danej port. predpokladam, ze by se to dalo krouhat i podle prutoku, ale to uz jsem nezkoumal
#8
Publikováno 02 červen 2011 - 20:22
To co navrhuje zLOST je velice efektivni. Kernel to udela radove levneji nez kdyz to bude delat Apache.
Mozna bych zvazil nahrazeni toho DROP za REJECT... tedy pokud nemas podezreni ze se nejaky picus bavi tim ze server pretezuje. Nekdy minuly tyden na root.cz vysla zpravicka o nejakem toolu ktery Apache umoznuje hodne levne sejmnout, vyuziva toho ze otrevre hodne spojeni a zoufale pomalu odesila svuj pozadavek. Myslim ze si s tim par lidi ted bude hrat.. to za tyden dva odezni.
edit: ano o http://ha.ckers.org/slowloris/ se myslim psalo...
Mozna bych zvazil nahrazeni toho DROP za REJECT... tedy pokud nemas podezreni ze se nejaky picus bavi tim ze server pretezuje. Nekdy minuly tyden na root.cz vysla zpravicka o nejakem toolu ktery Apache umoznuje hodne levne sejmnout, vyuziva toho ze otrevre hodne spojeni a zoufale pomalu odesila svuj pozadavek. Myslim ze si s tim par lidi ted bude hrat.. to za tyden dva odezni.
edit: ano o http://ha.ckers.org/slowloris/ se myslim psalo...
Pokud se o mě chcete dozvědět víc, tak navštivte můj web: http://tomasek.cz/.
1 uživatel(ů) prochází toto téma
0 uživatelů, 1 návštěvníků 0 anonymních uživatelů