Ограничение подключений с одного IP с помощью ipfw на FreeBSD

Question

[Артем]

Есть необходимость ограничивать количество одновременных подключений с одного IP-адреса. Делаю это так:

ipfw add 64999 allow tcp from any to 111.111.111.111 dst-port 80 limit src-addr 30

Однако, здесь возникает проблема: через некоторое время сервер перестает быть доступен через HTTP. Удаляешь правило — сразу снова работает. Я что-то делаю неправильно?

Answer 1

[microphone]

прочитай вслух что написано и поймеш что происходит:
пакет от любого к 111.111.111.111 на порт 80 ограничить до 30
В локалке же еще кто-то может на тот же 111.111.111.111 пытаться ходить.

Comments

[Артем]

Едва ли это оно, так как тогда это проявлялось бы сразу.

[microphone]

111.111.111.111 это хост интернета к которому надо ограничить соединения? или это шлюз с натом и локалкой?

[Артем]

Хост интернета.

[microphone]

тогда внизу уже написал «setup limit src-addr 30»
только в начале проверку состояния толга надо ставить:
${ipfw} add check-state

[Артем]

Спасибо за дополнение.

Answer 2

[MarlboroMan]

Сервер перестает быть доступен по HTTP всем или только вам?
Возможно по каким-то причинам долго висят соединения в состоянии TIME_WAIT.
Что показывает netstat -p tcp?

Comments

[Артем]

Всем. Дождусь момента и посмотрю нетстат тогда. Проблема в том, что этого глюка можно ждать несколько дней.

[Артем]

Действительно, нетстат отдает много записей с состоянием TIME_WAIT такого вида:

tcp4       0      0  localhost.hostin.8080  localhost.hostin.52264 TIME_WAIT

На сервере стоит nginx (80 порт), за ним апач (8080 порт).

Answer 3

[truekenny]

64999 allow tcp from any to me dst-port 80 setup limit src-addr 30
А если так?

Comments

[Артем]

Проблема в том, что этого глюка можно ждать несколько дней, потестить сложно. Но попробую установить, спасибо.

[truekenny]

У меня этот вариант работает как надо уже год или полтора.

[Артем]

Отлично, спасибо!

[Артем]

К сожалению, и с этим правилом ситуация повторилась.