ifpw check-state a mnoho tcp wait

michal_sjx michal_sjx at seznam.cz
Sat Jul 28 13:41:10 CEST 2007


Milan Cizek wrote:
> Ahoj, muzes to prosim tedy shrnout co je vse treba k omezeni spojeni ze
> serveru per client aby to bylo ok? Diky
> 
> Milan

- je potreba mit zprovoznene IPFW
- nastavit net.inet.ip.fw.dyn_keepalive=0 (default je na 1)
- v ipfw mit pravidla:
  check-state
  allow tcp from any to me setup limit src-addr 4 (to cislo je kolik tcp
ve stavu ESTABLISHED je maximum z jedne IP adresy)


test:
na serveru je v provozu apache a pak nekde na klientovi udelame
# telnet server 80 &
# telnet server 80 &
# telnet server 80 &
# telnet server 80 &

# telnet server 80 & (tohle se uz v nasem pripade nepripoji a bude cekat
az se uvolni nejakej EST.)



zkracene:
# sysctl net.inet.ip.fw.dyn_keepalive=0
# ipfw add check-state
# ipfw allow tcp from any to me setup limit src-addr 4




Me to dost pomohlo prave u toho Apache, kde se nasli nejaci koumaci co
udelali z jedne ip na jeden .avi soubor asi 180 tcp v EST. .. asi
nejakej dobrej online player  :).

michal

-- 
 Hi! I'm a .signature virus! Copy me into your ~/.signature to help me
spread!



More information about the Users-l mailing list