GregorS hat geschrieben:Darkoon hat geschrieben:Hey
... Das gefunden: /sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
Funktioniert aber anscheinend nicht:
iptables: No chain/target/match by that name.
Was sagt denn 'iptables -L'?
Gruß
Gregor
iptables -L :
Code: Alles auswählen
root@v258633:~/scripts# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- XXXxxx.xxx.xxx. anywhere
RETURN all -- anywhere anywhere
root@v258633:~/scripts#
wanne hat geschrieben:Darkoon hat geschrieben:nun möchte ich die firewall so konfigurieren dass nurnoch auf den port 80(wo mein reverse proxy läuft) maximal 10 connections per ip aufgebaut werden können.
Ich möchte mal anmerken dass für eine Größere Seite (Sowas wie heiße.de,bild.de...) 20-40 Verbindungen für einen einzelnen Browser durchaus normal sind. Ganz zu schweigen davon, wenn sich mehrere Geräte hinter einem NAT verstecken...
Mit so ner Konfiguration sorgst du mit unter für ein Surfen mit angezogener Handbremse...
Habe aber gerade mal hier im Debianforum getestet. Da macht mir mein Browser nur 3 auf. Auf jeden fall mal Gucken. Wie oft da was reinfällt. Ich limitiere Übleicherweise auf ganze Subnetze. Da setzte ich das Connlimit etwas höher. DDOS Blocken kann man dann meist sogar besser weil die meisst viele Clienten im gleichen Subnetz haben. (10x10 sind mehr als 1x50.)
Erwicht natürlich dann auch unschuldige, die im gleichen Subnetzt sitzen.
Darkoon hat geschrieben:Ich hab mir jetzt einen billigen vserver
Billige VServer können kein iptables. (Allerdings klingt die Fehlermeldung etwas komisch dafür.) Du kannst dir stattdessen einen nginx als Proxy hinstellen, der dir die Verbindungen limitiert. Der ist auch ziemlich flott.
Also ich hab jetzt auf der seite direkt iosec eingebunden, und auf dem vserver(als proxy server) libapache2-mod-evasive raufgeklatscht, ist ziemlich nice

Man bekommt also 2 mal iosec aufgebunden wenn man zu oft auf f5 drückt und danach hat man keinen zugriff mehr. Das ganze läuft zurzeit auf apache2.
Also 20 connections sind meiner meinung nach ausreichend, da das nur ein kleiner gameserver ist, und nur maximal 2 leute gleichzeitig drauf spielen,bzw surfen (was ich so gemerkt hab).
Der vserver läuft übrigens auf kms-hosting, weil die da einen netten ddos schutz mit drinnen haben, der mir den ärgsten mist vom pelz hält
Kommen wir bitte nun zu libapache2-mod-evasive zurück, was sehr gut funktioniert, bis jetzt. Jetzt möchte ich iptables einbeziehen, nur geht das irgendwie nicht. Ich habe mich daran gehalten:
http://tellini.info/2011/11/keeping-scr ... -iptables/
Nur hat iptables mit dem script schonwieder ein problem:
./ban_ip.sh x.x.x.x
iptables: No chain/target/match by that name.
./ban_ip.sh: 8: ./ban_ip.sh: at: not found
Wenn mir jemand dabei helfen würde währ das sehr nett
