We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

[konfiguracja itables/firewalla?]


patrick
11-11-2012, 15:57
Zmiana na Connection-close to nie jest dobry pomysł, a utrata wydajności przez nie potrzebne tworzenie nowych połączeń.
Z keep-alive można korzystać po stronie serwera www jednak powinien mieć on ustawioną odpowiednią wartość, zbyt duży limit spowoduje utrzymanie wielu nie potrzebnych połączeń i narazi na ryzyko ataku dos/ddos.
Tu testowo można ustawić mały limit 1/2 sekund, mod_evasive ma takie samo działanie jak powyższe polecenie iptables.
Jednakże iptables będzie wydajniejsze z użyciem tablicy połączeń, niż mod_evasive zbierający dane na serwerze www i nie potrzebnie go obciążając.
Tu jest problem z jakąś standardową konfiguracja www/sql i to raczej nie jest sytuacja w której potrzebny będzie jakiś zaawansowany system cache dla aplikacji.
Choć wdrożenie memcached po stronie aplikacji czy serwera www nie zaszkodziło by

Linux admin
06-11-2012, 23:06
Cytat Napisał patrick
Wrzuć w iptables coś takiego:
Kod:
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset
Sprawdź apache ( bo pewnie tam jest apache ) jaki ma limit czasu połączenia do klienta i limit na utrzymanie połączenia keep-alive.
Te dwa pewnie będą do zmniejszenia...
Trzeba by było zupełnie wyłączyć keep alive aby to działało, proponuję więc coś jak mod_evasive. Jeżeli jednak w serwisie nie ma mechanizmów cachowania ani nie da się go cachować np. jakimś reverse proxy i zwykłe F5 go zabija to i tak pewnie tylko częściowo rozwiąże to problem.

patrick
06-11-2012, 21:08
Wrzuć w iptables coś takiego:
Kod:
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset
Sprawdź apache ( bo pewnie tam jest apache ) jaki ma limit czasu połączenia do klienta i limit na utrzymanie połączenia keep-alive.
Te dwa pewnie będą do zmniejszenia...

ghostpl
06-11-2012, 20:18
Witam,

szukam kogoś kto za niewielką opłatą byłby wstanie rozwiązać problem z ciągłym odświeżaniem strony (taka forma ddosu) - opisałem to szerzej tutaj : http://forum.ovh.pl/showthread.php?t=15606

generlanie chodzi o zainstalowanie lub skonfigurowanie jakiegoś itables by ograniczyć ataki ddos.