论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2005-06-17 11:51 |只看该作者 |倒序浏览

Dear all,
为了保证服务器最少的DOWN机，我想限制TCP，UDP，ICMP的速度为3/s，规则如下：
iptables -A FORWARD -p tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 3/s --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 3/s --limit-burst 3 -j ACCEPT
在此之后再定义我的HTTP、FTP等规则。

但如果这样，则所有的包都可以不过我的下面HTTP与FTP规则就过去了。
我这边又想每加一条规则都再增加 -m limit选项。

请问，如何才能实现，前面作了整体速度限制，但不会直接通过或DROP，而是在后面再检查包的情况再确定其是否可能通过。

谢谢大家!

platinum

广告杀手

论坛徽章:: 0

2楼 [报告]

发表于 2005-06-17 11:54 |只看该作者

iptables 速度限制问题

原帖由 "jtzhao" 发表：

为了保证服务器最少的DOWN机，我想限制TCP，UDP，ICMP的速度为3/s，规则如下：

不看你怎么做的，只凭你这一句话我想告诉你
你还不如把网线拔了算了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jtzhao

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2005-06-17 12:00 |只看该作者

iptables 速度限制问题

^--^
3/s只是举例而已。
实际的速度肯定要看使用情况调整。

如果一台专门做限速，一台专门做服务就很容易实现了，要过两次规则。
但在一台上，既要限速，又要保证速度之下的规则，就不知如何弄了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

4楼 [报告]

发表于 2005-06-17 12:05 |只看该作者

iptables 速度限制问题

那就控制 filter 表的 OUTPUT 链
或者你用 tc 更好

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

hjun98

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2005-06-17 12:14 |只看该作者

iptables 速度限制问题

斑竹说的对,用tc来实现QoS是个很好的选择,学学吧,在google上搜"lartc",
Linux的高级路由和流量控制HOWTO

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jtzhao

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2005-06-17 13:08 |只看该作者

iptables 速度限制问题

tc限制流量比较好，但只用IPTABLES作一个大致的限定，主要是为了防最基本的SYN攻击等，还没有往真实的流量控制上去考虑。
我想这样实现：
将所有limit的设置，作为最基础的设置，分别对INPUT与FORWARD的流量进行LIMIT设置，将其操作转向user_input，user_forward链。
然后，所有的ACCEPT和DROP规则再在自定义的两个链中完成。
大家觉得如何？

BTW，能推荐一两个比较好的攻击工具吗？测试一下。
谢谢!