Ограничаване на броя едновременни връзки към сървър
Може да използвате connlimit модула за да въведете такова ограничение. Например, за разрешаване на 3 ssh връзки за всеки клиент, въведете:
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
Задаване на HTTP заявките до 20:
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
Където:
1. connlimit-above 3: изпълнява се само в случай, че броя съществуващи връзки е достигнал 3
2. connlimit-mask 24: групира хостовете по дължината на префикса. За IPv4 това трябва да е стойност между 0 и 32.
Използване на iptables като гуру
Повече информация за iptables може да бъде намерена в man-страницата на командата
$ man iptables
Помощните опции може да видите с
# iptables -h
По-подробни инструкции за използване на дадена опция може да получите чрез, например:
# iptables -j DROP -h
Тестване на изградения Firewall
Проверете дали има отворени портове:
# netstat -tulpn
Проверете дали дали tcp порт 80 е отворен
# netstat -tulpn | grep :80
Ако не е, стартирайте Apache:
# service httpd start
Уверете се, че iptables позволяват достъп до порт 80
# iptables -L INPUT -v -n | grep 80
Ако не- отворете го за всички потебители
# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# service iptables save
Използвайте telnet командата, за да разберете дали защитната стена пропуска порт 80
telnet www.mrejata.us 80
Примерен изход:
Trying 94.190.189.68...
Connected to www.mrejata.us.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
Използвайте nmap за да тествате собствения си сървър:
$ nmap -sS -p 80 www.mrejata.us
Примерен изход:
Starting Nmap 5.51 ( http://nmap.org ) at 2012-05-08 10:25 EEST
Nmap scan report for www.mrejata.us (94.190.189.68)
Host is up (0.00088s latency).
rDNS record for 94.190.189.68: ip-68-189.interbild.net
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 0.23 seconds
Други добри инструменти за тестване са tcpdupm и ngrep
Заключение:
Тази поредица показа само някои основни правила за работа с iptables. Стъпвайки на изградените вече знания може да създадете много по-сложни такива, за да се справите с всяко поставено изискване.
src="https://www.adwise.bg/context/context-0.1.js">
Публикувана от admin
на May 08 2012
|