Как я могу внести в белый список некоторые соединения по ip, которые были сброшены при помощи connlimit?
Я использую эти правила в /etc/ufw/before.rules
# Limit to 20 concurrent connections on port 80 per IP
-A ufw-before-input -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j DROP
-A ufw-before-input -p tcp --syn --dport 443 -m connlimit --connlimit-above 20 -j DROP
# Limit to 20 connections on port 80 per 2 seconds per IP
-A ufw-before-input -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
-A ufw-before-input -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 2 --hitcount 20 -j DROP
-A ufw-before-input -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --set
-A ufw-before-input -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --update --seconds 2 --hitcount 20 -j DROP
Я хочу добавить правило, которое заставит локальные системные ips вообще не ограничивать соединение или скорость. Например, у меня есть много заданий cron, которые подключаются к серверу внутри сервера. Мне нужно предотвратить их сбой, когда слишком много запущено одновременно.
ОБНОВЛЕНИЕ С РЕШЕНИЕМ: Я думаю, что мне просто нужно было добавить больше правил в before.rules вместо командной строки ufw, чтобы переопределить ограничение соединения для определенных ips. Я пока не могу ответить на свой вопрос.
Я просто добавляю эти правила выше правил connlimit:
-A ufw-before-input -p tcp --dport 80 -s 127.0.0.1 -j ACCEPT
-A ufw-before-input -p tcp --dport 443 -s 127.0.0.1 -j ACCEPT
2 ответа
Я нашел другое решение, используя iptables.
Команда iptables для ограничения соединений:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j DROP
вы можете исключить один ip:
iptables -A INPUT -p tcp --syn --dport 80 -d ! 127.0.0.1 -m connlimit --connlimit-above 20 -j DROP
Я надеюсь, что это полезно для вас.
Во-первых, вы не предоставили достаточно информации, чтобы мы могли дать вам конкретный ответ.
Во-вторых, это правила UFW. UFW является интерфейсом для iptables, и вы можете управлять правилами из командной строки, ufw или графического интерфейса, gufw.
Использование iptables напрямую будет конфликтовать с вашими правилами ufw, поэтому используйте тот или иной инструмент.
Вы должны опубликовать свои правила UFW. Как правило, вы разрешите свою локальную сеть в соответствии с правилами, которые вы опубликовали. Как вы управляете вашими правилами UFW? командная строка? gufw?
для ufw, что-то вроде этого
sudo ufw allow from 192.168.0.0/24
См. также:
http://blog.bodhizazen.com/linux/firewall-ubuntu -servers /
https://help.ubuntu.com/community/UFW
и для iptables http://bodhizazen.com / Обучающие / Iptables