Не работает hashlimit для iptables

0

0

На сервере работает Apache.
Пишу 2 правила для фаервола

iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m hashlimit --hashlimit-upto 2/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name h1 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
Правила добавляются успешно.

По логике они должны разрешать создание не более 2 новых конектов за час.
Однако доступ к www серверу все равно происходит нормально, даже если несколько раз нажимать на ссылки.
Почему не срабатывает ограничение hashlimit не понятно.
Попробовал на 2-х разных северах.

Ссылка

←	vpn - бред какой-то

CUPS в Debian 5.03

→

1. man keep-alive connections
2. За контроль состояния соединения через флаги TCP в приличных домах бьют очень больно.

nnz ★★★★
(01.12.09 12:53:45 MSK)

не знаю как в линухе, а, например, в pf был такой косяк: если указываешь 1000 соед. в час то это преобразовывалось в ~0.27 соед. в секунду и срабатывало не так как ожидалось.

И проверяй телнетом а не браузером.

true_admin ★★★★★
(01.12.09 13:10:47 MSK)

Ответ на: комментарий от nnz 01.12.09 12:53:45 MSK

Скажи те чем плох контороль состояния соединения через флаги TCP ?

Mixaluch384
(01.12.09 13:13:43 MSK) автор топика

Ответ на: комментарий от Mixaluch384 01.12.09 13:13:43 MSK

>Скажи те чем плох контороль состояния соединения через флаги TCP ?

Тем, что флаги TCP можно поставить любые.

nnz ★★★★
(01.12.09 13:16:33 MSK)

Ссылка

Ответ на: комментарий от true_admin 01.12.09 13:10:47 MSK

>И проверяй телнетом а не браузером.

Есть такие полезные проги, как wbox и httping.

nnz ★★★★
(01.12.09 13:36:50 MSK)

Ответ на: комментарий от nnz 01.12.09 13:36:50 MSK

За wbox спасибо, httping от всяких ab и siege не сильно отличается.

true_admin ★★★★★
(01.12.09 14:04:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	vpn - бред какой-то

Admin

CUPS в Debian 5.03

→

Похожие темы