English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Iptables không có connlimit . phải làm sao đây  XML
  [Question]   Iptables không có connlimit . phải làm sao đây 10/04/2012 11:41:15 (+0700) | #1 | 261124
khang0001
Member
[Minus]    0    [Plus]
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
[Profile] [PM]
Mình mới mua 1 con vps chạy centos 5. với phiên bản kernel là :
Code:
2.6.18-308.el5.028stab099.3

iptables là

Code:
iptables v1.3.5


khi mình đánh câu lệnh

Code:
iptables  -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 32 -j DROP

để chống lại slowloris nhưng lại báo lỗi sau

Code:
iptables: Unknown error 4294967295


. trong khi máy của mình củng xài phiên bản kernel 2.6.18-308 cùng phiên bản iptables thì vẫn có connlimit và limit. nên mình ko hiểu dc.
nhờ mọi người tư vấn giúp
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 10/04/2012 13:32:14 (+0700) | #2 | 261133
neverwon
Member
[Minus]    0    [Plus]
Joined: 08/08/2006 13:38:43
Messages: 89
Offline
[Profile] [PM]
Vấn đề mà bạn hỏi có ở đây:
http://lists.centos.org/pipermail/centos/2008-June/059656.html

The problem isn't yours alone. Despite the man page, there is no
support for the iptables connlimit match in CentOS 5 nor any previous
version. 


Trong thư này có hướng dẫn luôn cách giải quyết.
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 10/04/2012 13:56:04 (+0700) | #3 | 261137
khang0001
Member
[Minus]    0    [Plus]
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
[Profile] [PM]

neverwon wrote:
Vấn đề mà bạn hỏi có ở đây:
http://lists.centos.org/pipermail/centos/2008-June/059656.html

The problem isn't yours alone. Despite the man page, there is no
support for the iptables connlimit match in CentOS 5 nor any previous
version. 


Trong thư này có hướng dẫn luôn cách giải quyết. 


vậy là cách duy nhất là phải build lại kernel và iptables có kèm theo connlimit vào. nhưng mình tìm trên mạng toàn là hd cách build lại kernel với gói rpm không à. không có cái nào hướng dẫn cách build kernel + iptables + connlimit từ gói source chuẩn từ http://www.kernel.org/. cậu có bài HD nào không share mình với
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 11/04/2012 04:45:12 (+0700) | #4 | 261168
nhanct
Member
[Minus]    0    [Plus]
Joined: 27/07/2010 07:05:02
Messages: 21
Offline
[Profile] [PM] [Yahoo!]
http://webcache.googleusercontent.com/search?q=cache:1w9IP6DzFVMJ:opensource.com.vn/opensource/linux/centos/79-build-t-source-kernel-va-iptables-s-dng-nhng-tinh-nng-ca-iptables.html+&cd=1&hl=vi&ct=clnk&gl=vn

Bạn tham khảo bài này của opensource.com.vn nhá..Hosting đang bị gì ấy, xem cache nhé smilie
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 11/04/2012 09:30:06 (+0700) | #5 | 261174
khang0001
Member
[Minus]    0    [Plus]
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
[Profile] [PM]

nhanct wrote:
http://webcache.googleusercontent.com/search?q=cache:1w9IP6DzFVMJ:opensource.com.vn/opensource/linux/centos/79-build-t-source-kernel-va-iptables-s-dng-nhng-tinh-nng-ca-iptables.html+&cd=1&hl=vi&ct=clnk&gl=vn

Bạn tham khảo bài này của opensource.com.vn nhá..Hosting đang bị gì ấy, xem cache nhé smilie 

Thanks cậu nhưng
bài nầy mình xem rồi. nhưng nó build từ gói kernel rpm. nhưng mình tìm trên mạng thì rpm 2.6.18-308 là cao nhất rồi. mà máy mình củng 2.6.18-308 thì đâu thể cài được. nên mình mới phải đi tìm HD cài kernel thông qua combile gói source tar.bz2 đồng thời có tích hợp cả iptables. nhờ cậu tìm giúp
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 11/04/2012 10:25:41 (+0700) | #6 | 261180
[Avatar]
 somenuchi
Member
[Minus]    0    [Plus]
Joined: 08/10/2011 09:19:02
Messages: 55
Offline
[Profile] [PM]

khang0001 wrote:
Mình mới mua 1 con vps chạy centos 5. với phiên bản kernel là :
2.6.18-308.el5.028stab099.3
 

Theo cái kernel này thì mình nghĩ vps của bạn được tạo dựa trên openvz. Nếu bạn muốn có module connlimit cho vps của bạn thì tốt nhất là nhờ nhà cung cấp họ add cái module đó vào cho bạn.
Để chống slowloris bạn có thể tham khảo thêm tại đây:
Code:
/hvaonline/posts/list/20/29851.html
vô thường
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 11/04/2012 10:54:23 (+0700) | #7 | 261184
khang0001
Member
[Minus]    0    [Plus]
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
[Profile] [PM]

somenuchi wrote:

khang0001 wrote:
Mình mới mua 1 con vps chạy centos 5. với phiên bản kernel là :
2.6.18-308.el5.028stab099.3
 

Theo cái kernel này thì mình nghĩ vps của bạn được tạo dựa trên openvz. Nếu bạn muốn có module connlimit cho vps của bạn thì tốt nhất là nhờ nhà cung cấp họ add cái module đó vào cho bạn.
Để chống slowloris bạn có thể tham khảo thêm tại đây:
Code:
/hvaonline/posts/list/20/29851.html
 

đúng là vps mình mua trên nền openvz. nhưng mình mua gói unmanage mà. ko biết họ có chịu add giúp mình mod connlimit vào ko nữa. hjizhiz
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 11/04/2012 11:38:30 (+0700) | #8 | 261185
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

khang0001 wrote:

somenuchi wrote:

khang0001 wrote:
Mình mới mua 1 con vps chạy centos 5. với phiên bản kernel là :
2.6.18-308.el5.028stab099.3
 

Theo cái kernel này thì mình nghĩ vps của bạn được tạo dựa trên openvz. Nếu bạn muốn có module connlimit cho vps của bạn thì tốt nhất là nhờ nhà cung cấp họ add cái module đó vào cho bạn.
Để chống slowloris bạn có thể tham khảo thêm tại đây:
Code:
/hvaonline/posts/list/20/29851.html
 

đúng là vps mình mua trên nền openvz. nhưng mình mua gói unmanage mà. ko biết họ có chịu add giúp mình mod connlimit vào ko nữa. hjizhiz 


VPS thì quên đi. Đặc biệt chạy trên openvz vì modules được quản lý trên máy chính chớ không phải trên mỗi máy ảo.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 11/04/2012 12:28:01 (+0700) | #9 | 261188
khang0001
Member
[Minus]    0    [Plus]
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
[Profile] [PM]

conmale wrote:

khang0001 wrote:

somenuchi wrote:

khang0001 wrote:
Mình mới mua 1 con vps chạy centos 5. với phiên bản kernel là :
2.6.18-308.el5.028stab099.3
 

Theo cái kernel này thì mình nghĩ vps của bạn được tạo dựa trên openvz. Nếu bạn muốn có module connlimit cho vps của bạn thì tốt nhất là nhờ nhà cung cấp họ add cái module đó vào cho bạn.
Để chống slowloris bạn có thể tham khảo thêm tại đây:
Code:
/hvaonline/posts/list/20/29851.html
 

đúng là vps mình mua trên nền openvz. nhưng mình mua gói unmanage mà. ko biết họ có chịu add giúp mình mod connlimit vào ko nữa. hjizhiz 


VPS thì quên đi. Đặc biệt chạy trên openvz vì modules được quản lý trên máy chính chớ không phải trên mỗi máy ảo. 

nếu như vậy thì em không còn cách nào khác ngoài nhờ sự giúp đỡ của bên cung cấp vps phải hông anh conmale.
hizhiz. trường hợp xấu nhất ko được sự hỗ trợ thì em có thể dùng mod nào của apache để thay thế mod conlimit của iptables không ạ
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 11/04/2012 14:03:33 (+0700) | #10 | 261190
[Avatar]
 somenuchi
Member
[Minus]    0    [Plus]
Joined: 08/10/2011 09:19:02
Messages: 55
Offline
[Profile] [PM]
Ở trong topic nói về cách chống slowloris anh conmale có nói đến việc sử dụng mod reqtimeout để ngăn chặn.
Bạn có thể tham khảo trong topic của HVA mà mình đã đưa ra ở trên và theo tài liệu của apache ở đây :
Code:
http://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html

kernel trên máy chủ openvz của bạn đang là bản
Code:
2.6.18-308.el5.028stab099.3

Nó đã có sẵn mod connlimit trên đó rồi, nếu bên cung cấp VPS cho bạn hỗ trợ khách hàng tốt thì họ chỉ cần qua một lệnh sẽ add được module đó vào cho bạn.
vô thường
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 11/04/2012 16:09:27 (+0700) | #11 | 261194
khang0001
Member
[Minus]    0    [Plus]
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
[Profile] [PM]

somenuchi wrote:
Ở trong topic nói về cách chống slowloris anh conmale có nói đến việc sử dụng mod reqtimeout để ngăn chặn.
Bạn có thể tham khảo trong topic của HVA mà mình đã đưa ra ở trên và theo tài liệu của apache ở đây :
Code:
http://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html

kernel trên máy chủ openvz của bạn đang là bản
Code:
2.6.18-308.el5.028stab099.3

Nó đã có sẵn mod connlimit trên đó rồi, nếu bên cung cấp VPS cho bạn hỗ trợ khách hàng tốt thì họ chỉ cần qua một lệnh sẽ add được module đó vào cho bạn.  

thanks cậu, mình đã liên hệ với bên support. hy vọng là sẽ giải quyết giúp mình
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em
[Up] [Print Copy]
  [Question]   Iptables không có connlimit . phải làm sao đây 12/04/2012 08:34:07 (+0700) | #12 | 261223
khang0001
Member
[Minus]    0    [Plus]
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
[Profile] [PM]

khang0001 wrote:

somenuchi wrote:
Ở trong topic nói về cách chống slowloris anh conmale có nói đến việc sử dụng mod reqtimeout để ngăn chặn.
Bạn có thể tham khảo trong topic của HVA mà mình đã đưa ra ở trên và theo tài liệu của apache ở đây :
Code:
http://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html

kernel trên máy chủ openvz của bạn đang là bản
Code:
2.6.18-308.el5.028stab099.3

Nó đã có sẵn mod connlimit trên đó rồi, nếu bên cung cấp VPS cho bạn hỗ trợ khách hàng tốt thì họ chỉ cần qua một lệnh sẽ add được module đó vào cho bạn.  

thanks cậu, mình đã liên hệ với bên support. hy vọng là sẽ giải quyết giúp mình 


bên host bảo đã kích hoạt mod limit, connlimit. nhưng vẫn không thể apply rule vào được. có vẻ bên host không biết cách kích hoạt 2 mod nầy. nhờ mọi người giúp mình câu lệnh để bên host kích hoạt. hizhiz

thanks
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|