apache 限制ip连接数

ilovecr

UID: 44746
帖子: 114
积分: 262
在线时间: 18 小时

1^# ilovecr 发表于 2007-03-20 15:42

apache 限制ip连接数

最近时不时就发现有某一个ip 处在大量 sync 的链接状态。

   想限制apache 的连接数。

   请问有什么其他的办法么？

HonestQiao

UID: 7323
帖子: 20
积分: 46
在线时间: 10 分钟

2^# HonestQiao 发表于 2007-03-20 17:39

什么操作系统？

gogo407

UID: 8738
帖子: 9
积分: 20
在线时间: 10 分钟

3^# gogo407 发表于 2007-03-20 23:47

iptables ban 掉好了：）if have iptables

llzqq

UID: 11633
帖子: 54
积分: 124
在线时间: 4 小时

4^# llzqq 发表于 2007-03-21 07:28

如果是iptables:

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT

如果是pf:

###block this IP if threads from the IP more than allowd###

table <abusive_hosts> persist
block in quick on $ext_if inet proto tcp from <abusive_hosts> to $web port 80
pass in quick on $ext_if proto tcp from any to $web port 80 flags S/SA keep \
state (max-src-conn 1000, max-src-conn-rate 3/1, max-src-states 5 overload \
<abusive_hosts> flush)

###limit threads from one IP and block the more threads###

pass in on $ext_if proto tcp to $web_server port www flags S/SA keep state \
(max 2000, source-track rule, max-src-nodes 1000, max-src-states 3)

ilovecr

UID: 44746
帖子: 114
积分: 262
在线时间: 18 小时

5^# ilovecr 发表于 2007-03-21 13:14

谢谢 llzqq

mcumsigscr

UID: 82
帖子: 88
积分: 202
在线时间: 10 小时

6^# mcumsigscr 发表于 2007-03-21 17:14

QUOTE:

原帖由 llzqq 于 2007-3-21 07:28 发表
如果是iptables:

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT

如果是pf:

###block this IP if threads from the IP more than allowd###

table <abusive_h ...

学习了。

不过，llzqq是否可以对您写的解释一下。谢谢。

gogo407

UID: 8738
帖子: 9
积分: 20
在线时间: 10 分钟

7^# gogo407 发表于 2007-03-21 21:59

QUOTE:

原帖由 mcumsigscr 于 2007-3-21 17:14 发表

学习了。

不过，llzqq是否可以对您写的解释一下。谢谢。

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT
在表中添加一条规则:对协议是tcp的目标端口为80 连接数超过10以上ip的的所有连接就拒绝：）

iamcm

UID: 34325
帖子: 1
积分: 2
在线时间: 10 分钟

8^# iamcm 发表于 2007-03-22 09:39

楼上的，貌似要打iptables的connlimit补丁~

gogo407

UID: 8738
帖子: 9
积分: 20
在线时间: 10 分钟

9^# gogo407 发表于 2007-03-22 09:48

是楼上的楼上
呵呵：）