ComputerBase Menü
Aktuelles

[iptables] max. connections pro IP limitieren

Blutschlumpf

Blutschlumpf

Fleet Admiral
Registriert
März 2001
Beiträge
20.043
Situation folgende: Aktuell gibt es eine kleine Lücke in diversen Webserven (u.a. Apache) mit der man mit minimalem Aufwand Webserver durch Ausnutzen der TCP-Connections faktisch lahmlegen kann.

Ich möchte nun folgendes erreichen: Pro Client-IP sollen zu Port 80 max x connections erlaubt werden. Sofern möglich würde ich das gerne auf Systemebene machen und nciht über irgendwelche Apache-Module.
Kann mir da jemand kurz mit der Syntax helfen ? Mit dem conntracker hab ichs nur hinbekommen insgesammt oder bei explizit angegebene IPs die connections zu begrenzen, aber nicht auf x connection je IP.
 
Nein, hier geht es nicht um syn-floods, die connections werden vollständig aufgebaut, nur halt viel zu viele davon.
Ein lsof -i tcp zeigt nachher auch hunderte aktive Verbindungen an.
Wenn ich nur die neuen connections drosseln würde, dann dauerts zwar länger bis der lahmgelegt ist, aber wirklich helfen tut es nicht.
 
Zuletzt bearbeitet:
Limit connection per ip

<-- hier scheints ein modul für apache zu geben,

man iptables
connlimit
Allows you to restrict the number of parallel connections to a server
per client IP address (or client address block).

[!] --connlimit-above n
Match if the number of existing connections is (not) above n.

--connlimit-mask prefix_length
Group hosts using the prefix length. For IPv4, this must be a
number between (including) 0 and 32. For IPv6, between 0 and
128.

Examples:

# allow 2 telnet connections per client host
iptables -A INPUT -p tcp --syn --dport 23 -m connlimit
--connlimit-above 2 -j REJECT
Zum Vergrößern anklicken....

es sollte wohl schon gehen ...

mit iptables hab ich aber noch nicht so viel gemacht, kann dir hier leider also nciht helfen ...
 
Code: 
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
Scheint zu funzen, hätte statt ner Stunde google einfach mal ins Handbuch schauen sollen ;)

btw, dein Link loopt
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
iptables: Limit Maximum Connections per IP
Antworten
6
Aufrufe
2.082
mensch183
mensch183

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz