Como eu faço para whitelist algumas conexões por ip de serem descartadas por connlimit?

Question

Como eu faço para whitelist algumas conexões por ip de serem descartadas por connlimit?

#1 resposta do Panther (0 votos)
#2 resposta do Gino (0 votos)

3

Estou usando essas regras em /etc/ufw/before.rules

# Limit to 20 concurrent connections on port 80 per IP
-A ufw-before-input -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j DROP
-A ufw-before-input -p tcp --syn --dport 443 -m connlimit --connlimit-above 20 -j DROP

# Limit to 20 connections on port 80 per 2 seconds per IP
-A ufw-before-input -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
-A ufw-before-input -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 2 --hitcount 20 -j DROP
-A ufw-before-input -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --set
-A ufw-before-input -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --update --seconds 2 --hitcount 20 -j DROP

Eu quero adicionar uma regra que forçará os ips do sistema local a não ter conexão ou taxa limitada. Por exemplo, tenho muitos trabalhos agendados que se conectam ao servidor no servidor. Preciso evitar que isso falhe quando muitos estão sendo executados de uma só vez.

UPDATE WITH SOLUTION: Eu acho que eu só tinha que adicionar mais regras no before.rules em vez de linha de comando do ufw para substituir o limite de conexão para ips específicos. Eu não posso responder minha pergunta ainda.

Acabei de adicionar estas regras acima das regras connlimit:

-A ufw-before-input -p tcp --dport 80 -s 127.0.0.1 -j ACCEPT
-A ufw-before-input -p tcp --dport 443 -s 127.0.0.1 -j ACCEPT

iptables ufw

por Bruce Kirkpatrick 16.01.2014 / 16:48

2 respostas

Tags iptables ufw

várias combinações de teclas para um comando no compiz Virtualbox encaminhar ip específico para convidado

score 0 · Answer 1

Primeiro, você não forneceu informações suficientes para que possamos fornecer uma resposta específica.

Em segundo lugar, essas são regras ufw. O ufw é um front-end para o iptables e você pode gerenciar as regras a partir da linha de comando, ufw ou uma interface gráfica, gufw.

Usar o iptables diretamente irá conflitar com suas regras do ufw, então use uma ferramenta ou outra.

Você precisa postar suas regras do ufw. Em geral, você permitirá sua rede local antes das regras postadas. Como você está gerenciando suas regras do ufw? linha de comando? gufw?

para ufw, algo assim

sudo ufw allow from 192.168.0.0/24

Veja também:

link

e para o link

do iptables

score 0 · Answer 2

Eu encontrei outra solução usando o iptables.

Comando iptables para limitar as conexões:

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j DROP

você pode excluir um ip:

iptables -A INPUT -p tcp --syn --dport 80 -d ! 127.0.0.1 -m connlimit --connlimit-above 20 -j DROP

Espero que isso seja útil para você.