Привет всем.
Стоит задача ограничить число коннектов в еденицу времени на опр. порт с каждого ip в сети, но при этом не прописывая для каждого ip свое правило (т.е., как это сделано в ipt_connlimit). Делается в целях уменьшить забивание логов любителями проверять почту раз в минуту, рассылку спама затрояненными клиентами в гигантских масштабах и пр. То есть прошло три SYN'а с одного ip и в течении минуты, и все остальные отбрасываются. Вроде части этой задачи реализуют ipt_limit и ipt_connlimit, но как их скрестить не могу придумать. Есть какие-нибудь еще решения?

• Linux: лимит на число SYN'ов в еденицу времени с одного ip,kravchuk, 19:14 , 28-Фев-05
  • Linux: лимит на число SYN'ов в еденицу времени с одного ip,lithium, 09:54 , 01-Мрт-05
• Linux: лимит на число SYN'ов в еденицу времени с одного ip,lithium, 09:41 , 02-Мрт-05

>Привет всем.
>Стоит задача ограничить число коннектов в еденицу времени на опр. порт с
>каждого ip в сети, но при этом не прописывая для каждого
>ip свое правило (т.е., как это сделано в ipt_connlimit). Делается в
>целях уменьшить забивание логов любителями проверять почту раз в минуту, рассылку
>спама затрояненными клиентами в гигантских масштабах и пр. То есть прошло
>три SYN'а с одного ip и в течении минуты, и все
>остальные отбрасываются. Вроде части этой задачи реализуют ipt_limit и ipt_connlimit, но
>как их скрестить не могу придумать. Есть какие-нибудь еще решения?

Посмотри тут http://www.opennet.me/docs/RUS/iptables/
Там похожее описано но правда для ограничения от запросов 1 в секунду

>Посмотри тут http://www.opennet.me/docs/RUS/iptables/
>Там похожее описано но правда для ограничения от запросов 1 в секунду

мне жаль, что приходится цитировать самого себя:
> но при этом не прописывая для каждого ip свое правило (т.е., как это сделано в ipt_connlimit).

Вообщем, кому интересно -- модули ipt_dstlimit и ipt_recent. Буду смотреть, какой больше подходит.