The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"при Conn_limit не все загружаются рисунки"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Др. сетевые сервисы / Linux)
Изначальное сообщение [ Отслеживать ]

"при Conn_limit не все загружаются рисунки"  +/
Сообщение от dmitry_sairus (ok) on 23-Ноя-11, 18:37 
При использовании модуля connlimit в iptables:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j REJECT

на сайте грузится только часть рисунков.

Тоже самое если настроить nginx на ограничение одновременных подключений (nginx стоит перед апач).

KeepAlive в httpd.conf отключен.

Подскажите, с чем может бы вызвана такая работа веб-серверов? Как можно ее решить?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "при Conn_limit не все загружаются рисунки"  –1 +/
Сообщение от Andrey Mitrofanov on 23-Ноя-11, 18:43 
> При использовании модуля connlimit в iptables:
> Тоже самое если настроить nginx на ограничение одновременных подключений
> Подскажите, с чем может бы вызвана такая работа веб-серверов? Как можно ее
> решить?

Предлагаю "решить работу веб-сервера" не использованием меодуля connlimit в iptables и не ограничиванием одновременных подключений в nginx.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "при Conn_limit не все загружаются рисунки"  +/
Сообщение от PavelR (??) on 23-Ноя-11, 18:56 
> При использовании модуля connlimit в iptables:
> iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5
> -j REJECT
> на сайте грузится только часть рисунков.
> Тоже самое если настроить nginx на ограничение одновременных подключений (nginx стоит перед
> апач).
> KeepAlive в httpd.conf отключен.
> Подскажите, с чем может бы вызвана такая работа веб-серверов?

Вызвана - Вашими настройками.

>Как можно ее решить?

Включить логику, изменить настройки.


-------------
....
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -m connlimit --connlimit-above 20 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name dport8080 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 30 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-above 2/sec --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name dport8080 -j DROP
....

замечаний нет.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "при Conn_limit не все загружаются рисунки"  +/
Сообщение от dmitry_sairus (ok) on 23-Ноя-11, 19:03 

>[оверквотинг удален]
> -A INPUT -i eth0 -p tcp -m tcp --dport 8080 --tcp-flags FIN,SYN,RST,ACK
> SYN -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 10 --hashlimit-mode srcip
> --hashlimit-name dport8080 -j DROP
> -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m connlimit
> --connlimit-above 30 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
> -A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK
> SYN -m hashlimit --hashlimit-above 2/sec --hashlimit-burst 10 --hashlimit-mode srcip
> --hashlimit-name dport8080 -j DROP
> ....
> замечаний нет.

Спасибо. А в каких случаях тогда необходимо conn_limit для nginx? Если с коробки установка данной опции привод к вот такому нехорошему последствию?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "при Conn_limit не все загружаются рисунки"  +/
Сообщение от PavelR (??) on 23-Ноя-11, 19:30 

> Если с коробки установка данной опции привод к вот такому нехорошему последствию?

"Выстрелить в ногу" можно еще кучей других способов.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "при Conn_limit не все загружаются рисунки"  +/
Сообщение от PavelR (ok) on 24-Ноя-11, 08:28 

> Спасибо. А в каких случаях тогда необходимо conn_limit для nginx?

Ограничить, к примеру, число скачиваний файла.

Общее правило: пока не знаешь, зачем оно нужно и не имеешь представления, как оно работает - трогать этот рычажок не надо.

> Если с коробки установка данной опции привод к вот такому нехорошему последствию?

Не совсем ясен смысл фразы "с коробки".


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "при Conn_limit не все загружаются рисунки"  +/
Сообщение от PavelR (ok) on 24-Ноя-11, 08:29 
>> Спасибо. А в каких случаях тогда необходимо conn_limit для nginx?
> Ограничить, к примеру, число скачиваний файла.

Файрволл ограничивает TCP-соединения, а в веб-сервере настройка применяется на разных уровнях - на уровне всего веб-сервера, на уровне отдельного веб-сайта, а в nginx также можно ограничивать на уровне location, что позволяет ограничивать по еще более точным условиям.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "при Conn_limit не все загружаются рисунки"  +/
Сообщение от dmitry_sairus (ok) on 28-Ноя-11, 02:57 
В продолжение обсуждения...

На каком уровне лучше защищаться от простых  ab, для начала (ApacheBenchmark).

Добавил правило в файрвол на 5/sec (таймаут 10сек) - начали появляться IP Google. Думаю это хорошим ничем не закончится... с поисковиком не хочется шутить...

Сколько в лимит на практике ставить необходимо, или лучше применять другие решения ?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру