根据iptables-extensions手册页 hashlimit可以做带宽限制: “stream量超过512kbyte / s”=> –hashlimit-mode srcip,dstip,srcport,dstport –hashlimit-above 512kb/s 然而,当我试图指定这样一个规则,1)它不会像我所期望的那样限制我的带宽,2)当我使用iptables-save转储规则时,无论我在数字后加了多less,我都会得到相同的条目(kb / s,b / s,/ sec,愚蠢的东西,或者什么也没有): # iptables -t filter -A it2net -s 10.5.2.43/32 -m hashlimit –hashlimit-upto 8kb/s –hashlimit-mode dstip –hashlimit-name test –hashlimit-htable-expire 3600000 -j ACCEPT # iptables -t filter -A it2net -s 10.5.2.44/32 -m hashlimit –hashlimit-upto 8b/s –hashlimit-mode dstip –hashlimit-name test –hashlimit-htable-expire 3600000 -j ACCEPT […]
是否有可能限制Windows 2008上的进程的networking带宽? 我们需要长时间运行上传,但不想让networking饱和(我们有时间)。
我一直使用HAProxy来平衡我的appservers几个月没有问题。 最近一些stream量峰值导致我设置maxconn参数来限制连接到我的后端服务器。 它工作了好几个小时,然后似乎停止接受任何连接。 我看过我的系统资源图,loadavg和RAM的使用似乎都在控制之下,在冻结之前没有大的峰值。 编辑:Loadavg似乎从冻结前大约从0.13到1.0秒。 这个系统有4个内核,我只是将HAProxy作为一个进程运行 – 当我在冻结之后在htop中查看它时,CPU被locking在100%。 # HA-Proxy version 1.4.16 2011/08/04 global log 127.0.0.1 local0 log 127.0.0.1 local1 notice #log 127.0.0.1 local1 debug #log loghost local0 info maxconn 4096 #chroot /usr/share/haproxy user haproxy group haproxy daemon #debug #quiet defaults log global mode http option httplog option dontlognull retries 3 option forwardfor option redispatch […]
我想用tc-qdisc来configurationAQM PIE,但同时我想限制带宽为1Mb / s。 我已经使用了类似的configuration与fq_codel,即我已经限制带宽通过使用htb,后来configurationfq_codel为叶类,在这个例子中完成https://www.linux.com/community/blogs/133-一般的linux / 879656的QoSfunction于Linux的与-TC-和filter 所以馅饼我做: tc qdisc add dev eth0 handle 1: root htb default 11 tc class add dev eth0 parent 1: classid 1:1 htb rate 1000kbit ceil 1000kbit tc class add dev eth0 parent 1:1 classid 1:11 htb rate 1000kbit ceil 1000kbit tc qdisc add dev eth0 parent 1:11 pie […]
我无法弄清楚如何阻止BIND上的任何DNS请求,以降低DNS放大攻击的变化。 我看过在线指南,但大多数似乎通过iptables或绑定执行速率限制。 任何提示或build议?
我有一个网站,通过XMLRPC与XMLRPC服务器Web服务进行通信。 (Web服务是使用xmlrpclib以Python编写的。)我相信xmlrpclib在处理一个请求时将会阻塞。 所以如果有三个用户在你之前有一个xmlrpclib请求,你的响应需要四倍的时间。 如果我收到太多的XMLRPC请求,并且Web服务陷入困境并且响应速度慢,如何处理它? 如果我得到的是斜杠,我的首选行为是,第一个用户得到良好的响应时间,其他人被告知稍后再回来。 我认为这比给每个人可怕的回应时间要好得多。 我如何创build这种行为? 这是否称为负载平衡? 我没有真正的平衡,直到我有多个服务器。
我正在使用iptables的速率限制模块来防止DoS攻击(我知道它不能阻止全面的DDoS攻击,但至less可以帮助更小的攻击)。 在我的规则中,我有这样的东西: /sbin/iptables -A INPUT -p TCP -m state –state NEW -d xx.xxx.xxx.xx –dport 80 -m limit –limit 20/minute –limit-burst 20 -j ACCEPT 它运作良好,直到昨晚有人不停地打我的80港口。 连接按规则丢弃(如日志所示)。 但是,这也使服务器对其他合法用户不可用。 我不明白为什么会这样。 我认为除了淹没服务器之外,不会影响任何其他用户。 是否因为iptables不堪重负? 任何反馈将不胜感激。 谢谢!
是否可以在HP ProCurve 5406交换机上针对特定端口上的特定IP地址使用QOS启用绝对值速率限制? 我们有一个10Mbps的头端连接多个位置,这是一个单一的物理端口。 有时候一个好意思的pipe理员或错误configuration的应用程序会一次将客户端更新推送到所有这些位置。 这将立即使头端饱和,给我们的客户带来不小的悲痛。 十次九次,罪犯是安装反病毒服务,WSUS和其他客户端pipe理应用程序的一个服务器。 并非所有这些应用程序都能够从应用程序本身的上下文中configuration速率限制。 有没有办法在我们的HP 5406上configuration该服务器IP地址的端口绝对速率限制? 我想限制它只能在头端同时发送1Mbps的stream量。 文档中的所有内容都指向优先级队列,就我所知,这并不是我想要的。 Baring使用速率限制来实现这个目标是否有更好的方法来防止我们的服务意外地饱和这个连接?
我在nginx后面的apache服务器上有一个批量search表单。 我希望保护该位置,以便在10分钟内获得301的“第二个请求”,而不是像下面这样使用我们的API: http { limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { location = /search/bulk { limit_req zone=one burst=2; … SOME CONFIG HERE… } } } 当他们打我的limit_req,而不是显示一个ngnix错误页面时,我将如何301最终客户端? 另外,其次,我不想限制整个http子句的stream量。 我可以在没有费率的情况下设置一个limit_req_zone,但在我的位置节中有吗? 谢谢, M.
我在使用Cloudflare加速服务的时候,在我的nginx.conf http块中使用了下面的configuration来获取真实的IP地址: ## Cloudflare settings to get Real IP's set_real_ip_from 204.93.240.0/24; set_real_ip_from 204.93.177.0/24; set_real_ip_from 199.27.128.0/21; set_real_ip_from 173.245.48.0/20; set_real_ip_from 103.21.244.0/22; set_real_ip_from 103.22.200.0/22; set_real_ip_from 103.31.4.0/22; set_real_ip_from 141.101.64.0/18; set_real_ip_from 108.162.192.0/18; set_real_ip_from 190.93.240.0/20; set_real_ip_from 188.114.96.0/20; set_real_ip_from 197.234.240.0/22; set_real_ip_from 198.41.128.0/17; set_real_ip_from 162.158.0.0/15; set_real_ip_from 2400:cb00::/32; set_real_ip_from 2606:4700::/32; set_real_ip_from 2803:f800::/32; set_real_ip_from 2405:b500::/32; set_real_ip_from 2405:8100::/32; real_ip_header CF-Connecting-IP; 我也使用在上面的configuration下定义的nginx速率限制function,如下所示: limit_conn_zone $binary_remote_addr zone=two:30m; 这是由limit_conn two […]