Limiter les connexions par IP

par **ONC** » 06 Mai 2003 21:01

Quelqu'un saurait-il comment limiter le nombre de connexions possible par adresse IP ? En plus clair, j'ai un serveur web en DMZ. Comme ma bande passante est limité, j'ai fixé une limite de bande passante par connexion (avec mod_bandwidth) Mais des "petits malins" ouvrent jusqu'a une dizaine de connexion pour télécharger un même fichier et donc outrepassent la limite... J'aurais donc voulu empecher plus de 2 connexions (par exemple) par adresse IP sur le port 80... Apache ne me permet pas ce genre de config et je n'ai pas trouvé de module pour le faire. La solution aurait sans doute été d'utiliser xinetd avec le serveur web, seulement ce serveur web tourne sous une redHat 6.2 et je n'arrive pas à trouver une version d'xinetd qui tourne sur un linux aussi vieux :'( Et je suis obligé d'avoir cette distrib et pas une autre pour de multiples raisons... (notamment c'est la seule que j'ai trouvé dont le prg d'install reconnait ma carte réseau intégrée (portable) et n'a pas besoin de plus de 48Mo de RAM) Donc je me tourne vers IPCop.... et vers les pros des regles en tout genre <IMG SRC="images/smiles/icon_smile.gif">

par **Sorg** » 06 Mai 2003 21:56

J'ai une solution pour toi: Limiter la bande passante globale attribuée au serveur web grâce à la QOS. il te faudra par contre IPCOP 1.3 . Crée un petit script comme çà: /bin/qos #!/bin/bash # Wonder Shaper # please read the README before filling out these values # # Set the following values to somewhat less than your actual download # and uplink speed. In kilobits. Also set the device that is to be shaped. DOWNLINK=500 UPLINK=100 DEV=ppp0 SERVERLIMIT= cequetuveux # low priority OUTGOING traffic - you can leave this blank if you want # low priority source netmasks NOPRIOHOSTSRC= # low priority destination netmasks NOPRIOHOSTDST= # low priority source ports NOPRIOPORTSRC= # low priority destination ports NOPRIOPORTDST="80 21" # Now remove the following two lines <IMG SRC="images/smiles/icon_smile.gif"> if [ "$1" = "status" ] then tc -s qdisc ls dev $DEV tc -s class ls dev $DEV exit fi # clean existing down- and uplink qdiscs, hide errors tc qdisc del dev $DEV root 2> /dev/null > /dev/null tc qdisc del dev $DEV ingress 2> /dev/null > /dev/null if [ "$1" = "stop" ] then exit fi ###### uplink # install root HTB, point default traffic to 1:20: tc qdisc add dev $DEV root handle 1: htb default 20 # shape everything at $UPLINK speed - this prevents huge queues in your # DSL modem which destroy latency: tc class add dev $DEV parent 1: classid 1:1 htb rate ${UPLINK}kbit burst 6k # high prio class 1:10: tc class add dev $DEV parent 1:1 classid 1:10 htb rate ${UPLINK}kbit burst 6k prio 1 # bulk & default class 1:20 - gets slightly less traffic, # and a lower priority: tc class add dev $DEV parent 1:1 classid 1:20 htb rate $[9*$UPLINK/10]kbit burst 6k prio 2 tc class add dev $DEV parent 1:1 classid 1:30 htb rate ${SERVERLIMIT}kbit burst 6k prio 2 # all get Stochastic Fairness: tc qdisc add dev $DEV parent 1:10 handle 10: sfq perturb 10 tc qdisc add dev $DEV parent 1:20 handle 20: sfq perturb 10 tc qdisc add dev $DEV parent 1:30 handle 30: sfq perturb 10 # TOS Minimum Delay (ssh, NOT scp) in 1:10: tc filter add dev $DEV parent 1:0 protocol ip prio 10 u32 match ip tos 0x10 0xff flowid 1:10 # ICMP (ip protocol 1) in the interactive class 1:10 so we # can do measurements & impress our friends: tc filter add dev $DEV parent 1:0 protocol ip prio 10 u32 match ip protocol 1 0xff flowid 1:10 # To speed up downloads while an upload is going on, put ACK packets in # the interactive class: tc filter add dev $DEV parent 1: protocol ip prio 10 u32 match ip protocol 6 0xff match u8 0x05 0x0f at 0 match u16 0x0000 0xffc0 at 2 match u8 0x10 0xff at 33 flowid 1:10 # rest is 'non-interactive' ie 'bulk' and ends up in 1:20 # some traffic however suffers a worse fate for a in $NOPRIOPORTDST do tc filter add dev $DEV parent 1: protocol ip prio 14 u32 match ip dport $a 0xffff flowid 1:30 done for a in $NOPRIOPORTSRC do tc filter add dev $DEV parent 1: protocol ip prio 15 u32 match ip sport $a 0xffff flowid 1:30 done for a in $NOPRIOHOSTSRC do tc filter add dev $DEV parent 1: protocol ip prio 16 u32 match ip src $a flowid 1:30 done for a in $NOPRIOHOSTDST do tc filter add dev $DEV parent 1: protocol ip prio 17 u32 match ip dst $a flowid 1:30 done # rest is 'non-interactive' ie 'bulk' and ends up in 1:20 tc filter add dev $DEV parent 1: protocol ip prio 18 u32 match ip dst 0.0.0.0/0 flowid 1:20 ########## downlink ############# # slow downloads down to somewhat less than the real speed to prevent # queuing at our ISP. Tune to see how high you can set it. # ISPs tend to have *huge* queues to make sure big downloads are fast # # attach ingress policer: tc qdisc add dev $DEV handle ffff: ingress # filter *everything* to it (0.0.0.0/0), drop everything that's # coming in too fast: tc filter add dev $DEV parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate ${DOWNLINK}kbit burst 10k drop flowid :1 Adapte çà à tes besoins , et fais en sortes que le script ce lance à chaque reconnection.

par **ONC** » 07 Mai 2003 09:31

Merci pour le QOS, mais la bande passante globale du serveur est déjà limitée. Ce que j'aimerai limiter, c'est la bande passante par utilisateur parcequ'actuellement quand qqu'un lance un téléchargement avec 10 connexions, les autres sont d'autant plus ralentis... Avec une vingtaine de connexion (2 utilisateurs de 10 connexions), le site est horriblement ralenti... J'aimerai donc empecher plus de 2 ou 3 connexions par utilisateur... donc par IP...

par **Sorg** » 07 Mai 2003 09:34

La QOS doit te permettre de faire çà. Mais là on sort de son utilisation "traditionelle" ... A toi de potasser les documentations imbitables sur le sujet!

par **nemesis** » 07 Mai 2003 09:38

kestion ils télécharge via du ftp ou via apache?

par **Sorg** » 07 Mai 2003 10:11

apache, je crois il a parlé de l'utilisation de mod_bandwith

par **ONC** » 07 Mai 2003 10:23

Le téléchargement se fait via apache... Le serveur FTP aurait sans doute permis de limiter le nombre de connexion par IP mais je ne veux pas d'acces anonyme à mon serveur FTP qui est plein de faille de sécurité... (vieux wu_ftpd)

Limiter les connexions par IP

Qui est en ligne ?