Викиновости

Улучшения в плане контроля входящих адресов в OpenBSD PF

15 декабря 2003 года

В пакетном фильтре OpenBSD PF реализованы средства регулирования интенсивности трафика с IP адресов (можно ограничить число одновременных коннектов с одного IP) и сохранения статуса при балансировке или трансляции адреса.

Пример: 


Для одно и того же IP в последующем результат трансляции будет такой же
как и при первом срабатывании. Т.е. если IP оттранслировался в 10.1.2.1,
то он будет продолжать транслироваться в 10.1.2.1 в дальнейшем.

nat on $ext_if from $int_net to any - { 10.1.2.1, 10.1.2.3 } round-robin sticky-address
rdr on $ext_if from any to $ext_if - { 192.168.0.4/30 } random sticky-address

Максимум 1000 IP могут соединится одновременно к web-серверу,
каждый может иметь не более 3-х одновременных соединений.

pass in on $ext_if proto tcp to $webserver port www flags S/SA \
keep state (source-track, max-src-states 3, max-src-nodes 10)

Установка таймаута в течении которого будет сохранен статус:

set timeout src.track 900

Статистика:

pfctl -sS
pfctl -vsS;
pfctl -vsi

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Улучшения в плане контроля входящих адресов в OpenBSD PF», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Улучшения_в_плане_контроля_входящих_адресов_в_OpenBSD_PF&oldid=9109287