Pui patch de connlimit la iptables pe router si limitezi numarul de conexiuni pentru principalele servicii, ex: 35 de conexiuni la www, 3 la ftp, 5 la ssh, etc.
Pui limite cam cat sa nu iti manance resursele tie. El poate face oricum ce vrea cu conexiunea lui. Folosind connlimit scapi de multe belele. OBS1: Vezi ca o conexiune apare activa cata vreme e ESTABLISHED in /proc/net/ip_conntrack, si poate ai vrea sa scazi timpul de expirare al conexiunilor (care default am impresia ca e de 5 zile). Asta poti face asa: echo 6000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established OBS2: Exista anumite exploit-uri pentru www care incearca sa automat sa acceseze tot felul de .cgi-uri si s-ar putea ca el sa nu mai poata deschide nici o pagina daca e infectat cu asa ceva. Cel mai bine ar fi sa-l redirectezi catre o anumita pagina cand depasesete numarul de conexiuni, la tine pe un port unde asculta un mini httpd server. Astfel, daca lui ii apare mereu pagina aia iti poti da seama ce se intampla (ca el sa nu reclame pur si simplu ca nu ii merge). De asemenea exista riscul ca numarul mare de tentative sa iti omoare apache-ul in cazul asta, asa ca e bine sa il configurezi cu o limita rezonabila (10) de procese deschise. OBS3: Daca faci proxy transparent e bine sa pui connlimit-ul in lista de reguli in fw inainte de regula ce face redirect. Sper sa fi inteles ceva. Bafta! Sabin Iacob wrote: >-----BEGIN PGP SIGNED MESSAGE----- >Hash: SHA1 > >Tiberiu Socaciu pressed random keys until the following output came out: > > >>>Ce posibilitati sunt pentru a aloca banda de internet unui anumit >>>calculator dar in acelasi timp sa'l impiedici sa devina router sau >>>proxy pentru alte calculatoare in spatele lui? >>> >>> >>htb + robotel de analiza a pachetelor ttl si a header-elor pentru dst port >>80 si celelalte cuplate cu un firewall >> >>tibi >> >> >> > >evident, presupunand ca cine face respectivul router/proxy n-a auzit de >mangle sau de privoxy ;-) > >P.S. nu e mai normal si sanatos ca omul sa poata sa faca ce vrea cu >banda care ii e alocata? intreb si io ca user care nu se pricepe la >bisnita (pardon, afaceri rromanesti). > >- -- >You can now buy more gates with less specifications than at any other time >in history. > -- Kenneth Parker >-----BEGIN PGP SIGNATURE----- >Version: GnuPG v1.4.1 (GNU/Linux) >Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org > >iD8DBQFCbKDcpFveV/JdohERAn9HAJ9QOuT20KqNsBdt4hFQVG4Q2HTVRACffS/i >0Q+AhQqnXHc0R86lZLxVB8s= >=rxQ0 >-----END PGP SIGNATURE----- > >--- >Detalii despre listele noastre de mail: http://www.lug.ro/ > > > > > -- Marius Malaia IP Network Engineer - MAN Operations Romania Data Systems - Bucharest Branch Tel. +4021-30.10.850, Fax. +4021-30.10.851 http://www.rdsnet.ro/ --- Detalii despre listele noastre de mail: http://www.lug.ro/
