Есть ли Iptables под Windows, с правилами по ограничению подключений с одного IP?
Есть ли Iptables под Windows, с правилами по ограничению подключений с одного IP?
Пример на Linux (максимум 2 подключения с одного IP на порт 80)
iptables -t filter -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 2 -j DROP
Хотя, тут не все линуксоиды и стоит русским языком описать, чего именно ты хочешь добиться. По памяти, не могу сказать, что делает данная команда, посему точный ответ дать затруднительно.
Ezhyg, так я же самым настоящим русским языком написал ведь. Нужно что-то на подобие Iptables, но под Windows, что не понятно-то? Интересно именно подобное правило вот одно, по ограничению количества подключений с одного IP, но на винде.
А русским - это как раз требуемый результат. Но честно говоря, я тупо пропустил - проморгал эту часть сообщения, сразу уцепился взглядом за команду . Уж не обессудь.
@АртемЪ, ты хотел сказать под линукс, а не под виндовс, однако, речь ведь не о встроенном корыте в винде, которое не умеет делать того, что я выше изложил.
Андрей, Виндовс это другая ОС, совершенно другие сетевые драйвера, и фаервол отличается как по функциональности так и по удобству. Собственно с задачами виндовый фаервол справляется, и все что надо там есть.
Но без излишеств. Это все-таки ОС для персонального компьютера, а не роутер.
Ну так подскажите мне как можно ограничить количество подключений с одного IP на Windows. В Windows Server 2003 имеется встроенный фильтр, там можно фильтровать трафик, например открыть конкретные порты tcp/udp, а вот есть ли там что-то по ограничению подключений с одного айпи?
Ёжик, я знаю, ты ленивый, но ты должен выручить меня в этот раз )) Если проблема моя разрешится, то я в долгу не останусь.
Андрей, Брателло, если у тебя не хватает тяму понять, что написано в правиле и как это правило преобразовать для встроенного виндового файрволла (который обладает достаточной для игровой машины функциональностью), то это вовсе не значит что кто-то подорвется преобразовать код, написанный для ядра линуха, в код для винды - только для того, чтобы ты мог не напрягая мозги правило, где-то вычитанное скопипастить.
Если же это встроенному виндовому файрволлу не под силу, то надо задуматься не о том, как заставить игровую машину заниматься несвойственной ей деятельностью, а о том, чтобы правильно поставить задачу размещения веб-сервера так, чтобы не пришлось заниматься очевидной чушью.
iptables для винды не бывает. Равно как не бывает для нее ipfw, pf и прочих других файрвоолов - потому что в этом нет необходимости.
Так я прекрасно знаю, что обычный дырявый фаер виндовый не умеет такого, я потому и спрашиваю о сторонних решениях. Может ты саботеур сможешь чего найти? В долгу не останусь.
Даже по IpFiltel, там просто порты нужные настраиваются, ипы, и не более...
Твоя агрессия по отношению к виндовс непонятна - это отличная операционная система со своими фичами и достоинствами. Просто нужный тебе функционал не нужен для домашней системы, поэтому его там и нет.
Если брать IIS, то там есть такая опция, но именно для IIS
Поэтому в качестве вариантов - либо коннекшены могут резаться самой программой, либо ставить что-то на пути (nginx, haproxy, может быть в apache это есть). Можно посмотреть сторонние файрволы, какие-нить касперские, комодо, но эта идея мне не нравится - уже проще поставить вообще перед виндой роутер, который будет это делать.
Saboteur, что-то я не пойму, о какой агрессии идёт речь? Ты меня видимо с кем-то перепутал, лучше внимательно читать сообщения. У меня как раз и стоит Windows, и мне надо фильтр на нём определённый иметь, на примере Iptables (правило я указал для примера). Видимо ты меня вообще не понимаешь, и речь идёт не о веб-сервере, а о всей системе в целом, сразу видно, что ты не знаком с тем правилом, которое я указал в теме вопроса.
Андрей, Нет, это ты лучше перечитай свои сообщения внимательно.
Ты везде агрессивно тычешь пальцем что никто не понимает о чем идет речь. Что кто-то с чем-то не знаком, что кто-то не в теме, что где-то что-то корыто.
При этом тебе дают верные ответы, а именно:
1.Родной файрвол винды НЕ УМЕЕТ то, что ты хочешь. Это указано и в моем ответе и в ответе CityCat4 и в комментариях от Ежа.
2. Обычно не подключаются к целой системе - подключаются к конкретному порту, и тут уже можно посмотреть на варианты чем можно проксировать такие запросы - haproxy,nginx,и др. Либо ставить стороннее решение или вообще отдельный роутер по пути к винде - это варианты решения.
3. Если вопрос вообще стоит о защите от dos или ddos, то это однозначно не уровень фаервола винды или линукса.
И из этого и придется выбирать - нет штатного решения в винде.
Saboteur, нет, ты реально не понял что я имел ввиду, один мне пишет что Iptables это тока для линуха и т.д., но я и не писал, что он для винды, вообще у меня конкретный вопрос в теме задан, но мне пишут одну чушь, и постоянно уводят с темы. И про агрессию, ты гонишь реально, пальцем сам тычешь и хочешь накормить меня дешовой шелухой, мне не 15 лет, так что не путай, и будь внимателен.
1. Я знаю, я разве писал, что он умеет это делать, или можно его заставить насильно? Зачем по 20 раз повторять то, что и так все знают. Речь не о родном фаере, это понял бы раз 100 обычный ребёнок, сложно прочитать что я пишу? Ёжик также, сначала пишет, а потом читает, видимо тут все так делают, превратили тостер в некую помойку, побыстрее ответить все хотят и некие очки срубить, детский сад...
Про глупую школотину CityCat4 вообще не стоило упоминать, он даже не в курсе, что есть ipfw под винду, и с пеной у рта мне доказывает обратное, надрываясь, тявкая, и чиркая бредни храмой кобылы, ну просто полный имбецыл.
2. Мне не нужны прокси, я через роутер и прокси это без проблем могу сделать. Вопрос в другом вообще, с темы уходить не хорошо.
3. Не вопрос, а суть, и да, речь о защите от дос на уровне открытых соединений.
Защиты от DDOS - на уровне пользовательского компа - нет.
Какой бы файрвол не стоял, он стоит на сетевом стеке (а в винде сетевой стек по функционалу послабее чем в *никс, поэтому и файреволы которые на него ставят не могут все), а не до него.
от DOS - опять таки, виндовый сетевой стек малофункциональный. Именно поэтому такая простая вещь как per ip rate есть почти в любом *никсовом решении, но отсутствует даже в платных решениях крупных вендоров (kaspersky, kerio, juniper, etc) - везде подобные решения идут на уровне отдельной операционки, которая запускается на отдельном оборудовании.
Я не работал с wipfw, но уверен, что его функционал заметно отличается от того, что он умел в freebsd, и рейт лимит по айпишникам в нем отсутствует, особенно для современной 64битной винды.
Поэтому конкретно по твоему вопросу - именно на уровне архитектуры такое решение будет нерабочим - пакеты будут фильтроваться уже после того как получены сетевым стеком. Поэтому от DDOS - вообще никак, от DOS - ну или прокси или самим приложением откидывать.
Saboteur, вопрос более не актуален, удалось найти нужное ПО в итоге, и да, это я прекрасно знаю что ты описал, и что винда с DDOS не справится, но мне нужно было решение именно по DOS, и без всякой воды в уши. А этот твой друг CityCat4 так вообще даун полный, всякую чушь только и пишет.
