«前の日記(2006-10-19) 最新 次の日記(2006-12-07)»

cheep, cheep, cheep...


2006-11-14

_ [linux][FreeBSD] 同時接続数の制限

行儀の悪いクローラーが apache に対する DoS を仕掛けてきていたので, FreeBSD なルータで TCP 接続数の制限をかけた.

ipfw allow tcp from any to {ウェブサーバのIPアドレス} dst-port 80 setup limit src-addr 10
ipfw deny tcp from any to {ウェブサーバのIPアドレス} dst-port 80

同じことを Linux のルータで行うには,以下のようなルールを仕込めば良いらしい. (ウェブサーバと同じマシンでフィルタリングする場合)

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j DROP

……が, connlimit モジュールはまだ安定版 kernel に含まれていない. ショック.