请问"限制每个主机TCP连接数为80条"如何排除网页服务器
限制总http连接数为50,如下:chain=input protocol=tcp dst-port=80 connection-limit=50,0 action=drop
限制每个主机TCP连接数为80条,如下:
chain=forward protocol=tcp connection-limit=80,32 action=drop
这样限制了所有的IP的连接数,把网页服务器等发禁了,明显WEB服务活不成了。
请教如何排除如内网IP为192.168.1.251的WEB服务器的TCP限制?
还有几点想不通的也请教下。
既然防火墙已经限了tcp连接数为80,那再限http连接数好象没多大意义吧?HTTP走的就是TCP协议呀不是吗?
还有网大的那个防火墙,好象精华区的也有,里面有防病毒的,这个。。。好象是多此一举吧?ROS本身目前不会中什么毒或马,再加上一般都是NAT转发,外网主动是连不进内网任何机器的吧?当然,NAT映射或反弹式木马例外,可是映射自然不需要ROS来限了,中了反弹木马的话还想靠ROS来限制,有用吗? 里面有个src.address.list和dst.address.list,好象可以从这下手。。。有人试过吗。 首先,未被修改的xp默认就是50个链接,所以即使修改ros控制也没意义,其次,web访问,根本用不了多少链接数......... 不一定的。
XP默认的可以改的。
连接数主要是防攻击吧?要是有几万个连接。。。
WEB服务器,如果访问量大的话呢?
至少我现在随便在外网访问都是很多时候访问不了的。但一把防火墙的限制停掉,就正常。 或者我在input链表的第一个设:源IP为WEB服务器的IP,action为accept,这样是不是就能让WEB服务器逃脱魔爪?
[ 本帖最后由 永远一个人 于 2007-7-12 00:27 编辑 ] ..................................xp限制的连接数的确可以改,但除非是客人自己改(用于p2p下载),否则自己改,只是在害自己。
.....访问量再大,web又能有多少链接呢?(除非是某些极度特殊的特殊应用,但相信你也不会是那些,况且那些的话,直接就放宽限制了)
你无法访问web但关掉限制带宽就ok的问题,请搜索论坛tracking
P.S:请善用搜索:L XP的限制,客人可以自己改,更重要的是别有居心的人在改,要防的就是他。
访问量,默认限制是80,如果有81个人在访问我的主页,那TCP连接数起码是81个以上吧?那第81个能访问吗?
这不是限制带宽,这仅仅是限制连接数。。。。
不过好象已经搞定了。
先在address list,就是地址表加了一个叫pt的表,范围是192.168.1.1-192.168.1.230的表(服务器IP是192.168.1.251),然后在tcp及http连接数限制那把Src. Address List设成pt,经测试,暂时正常。。。。
测试方法是先把连接数限制为2,在外网访问网站,同时开三个ie访问,则第三个窗口无法访问,但是经上面步骤后,开多少个窗口都能正常访问。。。。
[ 本帖最后由 永远一个人 于 2007-7-12 00:49 编辑 ] 超郁闷的话题
正是防备别有用心的人改xp的默认连接限制,所以才要在ros改,否则何必在xp已经限制的情况下还要在ros上限制?
你的网页?是你的网页还是别人的网页?如果是你的网页,你的网页在公网还是在私网(在ros内还是在ros外)?这个限制,本来就是限制内网用户对外网的连接数,和你的网页有什么关系(我这里假设你的网页在内网,内网访问内网根本就没过ros)?
当然知道是限制连接数:Q
“测试方法是先把连接数限制为2,在外网访问网站,同时开三个ie访问,则第三个窗口无法访问,但是经上面步骤后,开多少个窗口都能正常访问。。。。”
你这个测试本来就是错的.........但牵涉的话题太长了,明天有空再续,俺在play game XP的限制,客人可以自己改,更重要的是别有居心的人在改,要防的就是他。
访问量,默认限制是80,如果有81个人在访问我的主页,那TCP连接数起码是81个以上吧?那第81个能访问吗?
这不是限制带宽,这仅仅是限制连接数。。。。
不过好象已经搞定了。
先在address list,就是地址表加了一个叫pt的表,范围是192.168.1.1-192.168.1.230的表(服务器IP是192.168.1.251),然后在tcp及http连接数限制那把Src. Address List设成pt,经测试,暂时正常。。。。
测试方法是先把连接数限制为2,在外网访问网站,同时开三个ie访问,则第三个窗口无法访问,但是经上面步骤后,开多少个窗口都能正常访问。。。。
精彩。。 可能是我表达不清楚。
这个限制,是从INPUT限制的,你仔细看上面脚本就清楚了。不是限制了内网对外网的连接数,应该说是限制了内外网对路由本身的连接数。
为何对我的WEB服务器没有关系呢?WEB服务不光提供给内网,同时也发外网,什么可能和外网无关?
至于测试方法错误的,还请指教,我也觉得不对头,不过现在还是正常。 嗯,需要道歉,昨天的确没有仔细看你的策略,不过这并不太影响最后的结果。
chain=input protocol=tcp dst-port=80 connection-limit=50,0 action=drop
我当时的确没有注意这个策略,不过此策略在你的问题里不构成任何影响,此策略定义的是对ros本身的web(port 80)tcp访问限制为50,对于你内网访问外网(forward)不构成任何影响。
你应该把input理解为,其他对象访问ros本身,例如你用winbox管理ros,或者通过ros web管理ros,或者ping ros ip,反正访问的对象就是ros,除此之外,其他流过ros的报文并不在input的管理范围内.....至于forward,我也不知道如何准确定义,反正大约就是指流过ros的连接...........
在你的回帖里,依然没有明确说明“你的网页”是在内网还是外网,但在7、10楼的描述里猜测应该是内网,那么,你内网访问你的web服务器,则完全不受ros管理,你的帖提到外网也会访问你的web服务器,那么在你没有明确说明前,我猜测是最常见的端口映射,就是说csr是外网ip,对于此种情况,的确外网访问的确受你限制每ip连接数的限制,但在官方的限制连接数限制里,默认是说明,应该在src-address添加内网指定限制(即外网不受限制),或者你也可以限制端口(网卡)
例1
chain=forward src-address=192.168.3.0/24 protocol=tcp
connection-limit=50,32 action=drop
例2
chain=forward in-interface=lan protocol=tcp connection-limit=50,32
action=drop
例3
chain=forward src-address=192.168.3.0/24 in-interface=lan protocol=tcp connection-limit=50,32
action=drop
-------------------------------------------
至于你的测试,因为你没有明确说明你是在外网测试还是在内网测试(其他猜测和上面一样),这里假设你为在外网测试(因为这样才受策略影响),那么实际上,除非你的网页只是单纯的一个纯文本html没有任何图片且全文很短,否则你访问每个html页,每页面占用一个连接,每图片占用一个连接,每flash占用一个连接...如此等等....且http连接相对其他服务来说比较特殊,属于xx连接(愕...忘记术语了+_+"),反正连接完成即挂断,所以在正常情况下,会并发不少连接(其实也就十多个左右而已),但在很短时间内(大多数情况下是5ms左右),就会快速脱开(说老实,这些话题才是我的本业,ros的话题只算是副业),所以你的测试在这种情况下其实无效的,但为什么你打开多个ie后会访问不能呢?其实这个和ros tracking的tcp timeout设置有关,至于这个话题,我就不重复说了,请自己搜索论坛tracking关键词。
--------------------------------
P.S:针对你web可能是251,我给一个示范策略给你
chain=forward src-address=!192.168.1.251/32 in-interface=lan protocol=tcp connection-limit=50,32
action=drop 呃,谢谢seignior 的回复,情况基本如你所说。
WEB服务器是NAT映射的,内网不用说了,所有情况都是指WEB服务器和外网的通讯,所有的测试也是基于外网的。
我现在的目的是只想让WEB服务器不受到连接数的限制,于是我改成
chain=forward src-address=pt in-interface=lan protocol=tcp connection-limit=50,32
action=drop
其中pt是个address list,结果测试当场是正常的,但是。。。。不知道什么回事,今天出现两次ROS的CPU占用竟然是100%,都是因为这个策略引起,只要一禁用此策略即使再次马上启动,CPU占用就会正常,可以说CPU占用会不定的出现100%而且不会自动降下来,除非人为禁一下此策略。奇怪。。。。不知什么原因。
你的策略我现在就开始试看,多谢,希望正常。
如果再不行,就只有不用这个策略了,我想从queue那里下手也一样可以达到这个防火墙规则效果吧。
页:
[1]