Доброго времени суток!У меня имеется веб сервер Apache/2.0.52 (Red Hat), взят из RPM дистрибутива RHEL AS4. На данном сервере крутится один сайт с форумом. Сегодня обнаружились сильные тормоза на форуме. При анализе причин тормозов выяснилось что причина загрузки сервера - огромное число обращений к серверу с кое какого IP адреса. Пока я закрылся от него с помощью iptables. Но хотелось бы сконфигурить апачь таком образом чтобы на его работу не влияли отрицательно всяческие web-клиенты роботы.
Не подскажите каким образом это сделать?
>Доброго времени суток!
>
>У меня имеется веб сервер Apache/2.0.52 (Red Hat), взят из RPM дистрибутива
>RHEL AS4. На данном сервере крутится один сайт с форумом. Сегодня
>обнаружились сильные тормоза на форуме. При анализе причин тормозов выяснилось что
>причина загрузки сервера - огромное число обращений к серверу с кое
>какого IP адреса. Пока я закрылся от него с помощью iptables.
>Но хотелось бы сконфигурить апачь таком образом чтобы на его работу
>не влияли отрицательно всяческие web-клиенты роботы.
>Не подскажите каким образом это сделать?
>Доброго времени суток!
>
>У меня имеется веб сервер Apache/2.0.52 (Red Hat), взят из RPM дистрибутива
>RHEL AS4. На данном сервере крутится один сайт с форумом. Сегодня
>обнаружились сильные тормоза на форуме. При анализе причин тормозов выяснилось что
>причина загрузки сервера - огромное число обращений к серверу с кое
>какого IP адреса. Пока я закрылся от него с помощью iptables.
>Но хотелось бы сконфигурить апачь таком образом чтобы на его работу
>не влияли отрицательно всяческие web-клиенты роботы.
>Не подскажите каким образом это сделать?
ДА вы всё правильно сделали. С точки зрения экономии машинных ресурсов, правильнее обрубать трафик именно нетфильтром, а не модулем Апача :)
>ДА вы всё правильно сделали. С точки зрения экономии машинных ресурсов, правильнее
>обрубать трафик именно нетфильтром, а не модулем Апача :)Правильно то правильно, но хотелось бы лимитировать количество соединений с одного хоста, а не "рубить" "плохие" хосты по факту обнаружения атаки. Возможно это можно решить средствами iptables, но я пока не знаю как.
>Правильно то правильно, но хотелось бы лимитировать количество соединений с одного хоста,
>а не "рубить" "плохие" хосты по факту обнаружения атаки. Возможно это
>можно решить средствами iptables, но я пока не знаю как.
/sbin/iptables -A INPUT -s ИП_адрес -j DROP - добавление правила
/sbin/iptables -D INPUT -s ИП_адрес -j DROP - удаления правила
>>Правильно то правильно, но хотелось бы лимитировать количество соединений с одного хоста,
>>а не "рубить" "плохие" хосты по факту обнаружения атаки. Возможно это
>>можно решить средствами iptables, но я пока не знаю как.
>/sbin/iptables -A INPUT -s ИП_адрес -j DROP - добавление правила
>/sbin/iptables -D INPUT -s ИП_адрес -j DROP - удаления правила
:) Так то я умею, только вот не знаю я заранее кто (ИП_адрес) меня будет "насиловать"...
Лимитирование с помощью iptables:
iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/second -j ACCEPT
В этом случае мы указываем, что будем принимать не более 50 пакетов в секунду. Вместо секунд можно указывать minute, hour, day
>>ДА вы всё правильно сделали. С точки зрения экономии машинных ресурсов, правильнее
>>обрубать трафик именно нетфильтром, а не модулем Апача :)
>
>Правильно то правильно, но хотелось бы лимитировать количество соединений с одного хоста,
>а не "рубить" "плохие" хосты по факту обнаружения атаки. Возможно это
>можно решить средствами iptables, но я пока не знаю как.Лимитировать IPTABLESом тоже можно. Гляньте патч-о-матик к нетфильтру на предмет модуля connlimit
Также посмотрите
http://dominia.org/djao/limitipconn.html