Strona 1 z 2
Blokowanie stron na serwerze
: 07 czerwca 2008, 10:28
autor: qbsiu
Witam!
Wczoraj postawiłem serwer na Debianie w szkole... (okolo 100-200kompów - ciężko mi jest dokładnie powiedzieć). Popatrzyłem na ruch sieciowy i w 90% to były jakieś gry-online (flash...), fotki, youtube, itp... Reszte stanowiły - poczta, google i zwykłe strony.
Niby wszystko okej, ale to jest tylko neostrada 6mb... Czasami chodzi jak krew z nosa... Już i ograniczyłem przepływ pakietów do 100-150 (na pracownie do 800) jednak i tak sieć jest zamulona. Gdy tylko poblokowałem przez iptables stronki internet gwałtownie przyspieszył :-). Teraz moje pytanie jak zrobić, by użytkownik wchodząc na np. fotka.pl dostał informację, że ta strona jest zablokowana?
Czytałem coś o squidzie, ale to odpada.
Z góry dziękuję i pozdrawiam!
Aha... Oczywiście moje blokowanie przez iptables odpada... Nie wiem czy tak powinno być, czy nie, ale wchodząc np. na serwis, który ma reklamy chociażby fotki - to już nie odpali. I nawet jeśli zablokuję stronkę przez iptables to użytkownik wchodzący non-stop odświeża stronę - bo nie dostaje odpowiedzi od serwisu, a tak jak otrzyma informację, że strona jest zablokowana, da sobie spokój! :-) (taka już natura ludzka).
: 07 czerwca 2008, 10:37
autor: tomii
można poprzez zainstalowanie dodatkowego serwera http(zstronna informacyjna) i przekierowania uzytkownika na ten serwer.
: 07 czerwca 2008, 10:53
autor: qbsiu
tomii pisze:można poprzez zainstalowanie dodatkowego serwera http(zstronna informacyjna) i przekierowania uzytkownika na ten serwer.
Mógłbyś powiedzieć dokładniej jak? Jakąś regułką?
Aktualnie blokuje strony iptablesem:
Kod: Zaznacz cały
iptables -A INPUT -i eth0 -s ogame.pl -j DROP
Re: Blokowanie stron na serwerze
: 07 czerwca 2008, 13:16
autor: kayo
qbsiu pisze:
Czytałem coś o squidzie, ale to odpada.
Dlaczego nie chcesz postawic squida? znaczaco ci poprawi ruch sieciowy a i latwiej bedziesz mogl blokowac strony np przy pomocy squidguarda.
: 07 czerwca 2008, 13:17
autor: tomii
: 07 czerwca 2008, 13:38
autor: Yampress
kayo pisze:Dlaczego nie chcesz postawic squida? znaczaco ci poprawi ruch sieciowy a i latwiej bedziesz mogl blokowac strony np przy pomocy squidguarda.
squida da sie przejsc
zadna rewelacja blokujaca.
: 07 czerwca 2008, 15:24
autor: Czocher
Kod: Zaznacz cały
iptables -t nat -A PREROUTING -d [adres IP blokowanej strony] -s [adres serwera strony]/[skrót maski serwera strony np. 24 dla 255.255.255.0] -p tcp --dport 80 -j DNAT --to [adres serwera strony]
1. Instalujesz jakiś lekki serwer http na serwie (np. httpd lub lighttpd)
2. Dołączasz powyższą regułkę do firewalla zmieniając informacje w nawiasach kwadratowych na odpowiadające twojej sytuacji.
3. Tworzysz stronę informacyjną w "/var/www/index.html".
: 07 czerwca 2008, 15:42
autor: qbsiu
Czocher, dzięki wielkie! O to mi dokładnie chodziło :-) Próbowałem coś takiego napisać, ale ciągle nie działało :-)
Jeszcze jedno pytanie opłaca się dawać regułki z connlimit?
na starym serwerze, który się sypał ktoś porobił około 200 linijek z takimi wpisami:
Kod: Zaznacz cały
iptables -t filter -I FORWARD -p tcp -s 192.168.0.2 -m connlimit --connlimit-above 100 -j DROP
Szukałem troszkę na google, ale za dużo nie widziałem o tym connlimicie... Może ktoś z tego korzysta i wyjaśni co i jak :-)
Na chwile obecną nie mam dostępu do manuala :/
: 07 czerwca 2008, 19:01
autor: Yampress
connlimit - iptables connlimit matchAuthor: Gerd Knorr <
kraxel@bytesex.org>
Status: ItWorksForMe[tm]
This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).
Examples:
# allow 2 telnet connections per client host
iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT
# you can also match the other way around:
iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT
# limit the nr of parallel http requests to 16 per class C sized
# network (24 bit netmask)
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 \
--connlimit-mask 24 -j REJECT
: 07 czerwca 2008, 22:04
autor: kayo
Czocher pisze:Kod: Zaznacz cały
iptables -t nat -A PREROUTING -d [adres IP blokowanej strony] -s [adres serwera strony]/[skrót maski serwera strony np. 24 dla 255.255.255.0] -p tcp --dport 80 -j DNAT --to [adres serwera strony]
1. Instalujesz jakiś lekki serwer http na serwie (np. httpd lub lighttpd)
2. Dołączasz powyższą regułkę do firewalla zmieniając informacje w nawiasach kwadratowych na odpowiadające twojej sytuacji.
3. Tworzysz stronę informacyjną w "/var/www/index.html".
Tyle ze ten sposob dziala za dobrze w przypadku serwerow wirtualnych... blokujesz rowniez te strony ktore sa na tym samym serwerze mimo ze nie sa one niechciane
Yampress pisze:squida da sie przejsc
zadna rewelacja blokujaca.
kazdy sposob da sie obejsc... kwestia czasu i nakladu srodkow