耗尽指定给连接区域的内存的可能情况是什么limit_conn_zone指令以及在本案中的含义是什么? 假设我的配置中有这个: http { limit_conn_zone $binary_remote_addr zone=connzone:1m; ... server { limit_conn connzone 5; 根据文档,它connzone在 64 位服务器上分配了 16000 个状态。它还说 如果某个区域的存储空间耗尽,服务器将向所有进一步的请求返回错误 503(服务暂时不可用)。 好吧,好吧。但这在实践中意味...
我有一个网络上有大量 MDNS(UDP 5353)流量。 为了避免服务器过载,我使用以下规则全局限制 iptables 接受的 MDNS 数据包: iptables -A INPUT -i eth2 -p udp --dport 5353 -m limit --limit 100/second -j ACCEPT 现在我想为每个源 IP 设置这个限制,以便每秒接受单个源 IP 5 个 MDNS 数据包。 但是,我不确定该怎么做...也许connlimit可以?但是因为我正在处理 UDP 数据包(无连接),所以我认为这不是答案... ...
我有一个具有一种连接类型的特定应用程序,它主要向客户端发送数据包,而只接收登录请求。(即视频流) 因此,我希望将 TCP 连接(具体来说是 websocket 连接)接收的总流量限制在一个最大范围内。超过这个限制将导致连接断开。 在应用程序层面,对于接收的 websocket 消息大小仍然没有限制。因此,在采取安全措施之前,很容易受到大容量攻击。 感谢您的任何建议。——添加:使用 Nginx 或 HAproxy 作为反向代理的 CentOS Linux—— ...
我想限制一些 nginx 位置并避免对同一个 POST 数据($request_body)使用两个并行的 FastCGI 线程。 我添加了限制连接区域并在某个位置配置了连接限制: log_format postdata '$remote_addr - $remote_user [$time_local] ' '"$request" $status $bytes_sent ' '"$http_referer" "$http_user_agent" "$request_b...
我使用 conn_limit 将一个 $remote_user 的同时连接数限制为 n 个,效果很好。但是,我很高兴能找到一种方法来添加例外。我希望用户能够在任意数量的连接中获取 *.jpg 和 *.sql 文件,但仍然将 *.zip 文件限制为每个用户一个连接。我一直在 nginx 文档中尝试寻找解决方案,但没有任何成功。请给我指明正确的方向。 我目前的配置: limit_conn_zone $remote_user zone=limit:10m; server { location /source { root /home...
nginx 为几个大文件提供服务。用户通过基本身份验证获得访问权限。htpasswd 我想将每个用户同时下载的文件限制为最多 5 个连接。有多个用户通过 1 个 IP 地址获得访问权限,因此无法通过 IP 进行访问。 我尝试过以下操作: map "$remote_user" $num { default 5 } server { location /source { root /home/frog/source/; auth_basic "Login"; auth_basic_user_file /home/fr...
我想限制在 Linux 服务器上运行的给定服务的并发连接数。我的理解是,这可以iptables使用connlimit模块来实现。例如,如果我想限制到我的 SSH 服务器的并发连接数(假设默认策略是拒绝),那么这应该允许 10 个并发连接,第 11 个被拒绝(从内存中写入): iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-upto 10 -j ACCEPT 问题是,在我正在构建的新服务器上,我想使用 来实现防火墙nftables。虽然我connlimit在手册页中可以找到提及的内容...
greedyprocess我有一个始终以用户身份运行的进程,它使用了太多的 NAT 连接。它们并没有占用太多带宽,而是堵塞了路由器的 NAT 表。是否可以将用户限制为 1000 个打开的连接?我更希望对可以打开的greedyuser套接字数量进行某种内核限制。greedyuser 服务器运行 debian jessie(撰写本文时为稳定分支)。不,我无法绕过 NAT,因为我无法控制路由器。 用户的打开文件限制为 166,384,如果可能的话,我宁愿不降低这个限制。我只想限制打开的套接字,而不是所有打开的文件。 ...
![限制 INPUT UDP 端口每秒传入数据包的数量 [仅限每个 IP,而非全局]](https://linux22.com/image/678200/%E9%99%90%E5%88%B6%20INPUT%20UDP%20%E7%AB%AF%E5%8F%A3%E6%AF%8F%E7%A7%92%E4%BC%A0%E5%85%A5%E6%95%B0%E6%8D%AE%E5%8C%85%E7%9A%84%E6%95%B0%E9%87%8F%20%5B%E4%BB%85%E9%99%90%E6%AF%8F%E4%B8%AA%20IP%EF%BC%8C%E8%80%8C%E9%9D%9E%E5%85%A8%E5%B1%80%5D%20.png)
我搜索了一下,没有找到一条规则可以限制每秒每个 IP 输入 UDP 端口的传入数据包数量。 我需要它所有连接到我的套接字的 IP,不是为了具体的一。 我在 Ubuntu 14.0.4 LTS amd64 上使用 iptables。 我熟悉 UDP 的工作原理。在我的场景中,有人可以使用不同的端口创建大量 UDP 套接字。 我只需要一个来自单个 IP 的套接字就可以连接到我的 UDP 端口。 使用 iptables 可以实现吗?我了解 Netfilter 和 C++,我可以用它来实现吗? ...
我的网站是一个论坛,它有以下 3 种类型的 URL: 主题视图: forum.php?mod=viewthread&tid=1256&page=2 主题列表: forum.php?mod=forumdisplay&fid=125&page=61 显示图片: forum.php?mod=attachment&aid=afklafaklj 由于现在我的网站数据量很大,有超过 10,000,000 个主题,有些人试图通过访问数百个主题列表页面来减慢我的网站速度。例如,他们使用 curl 同时获取以下链接: f...
我有一个开放的端口40002,我想限制该端口在同一时间只能被一个ip地址(不是特定的地址)连接,如果已经有一个ip地址连接到该端口,其他ip将无法连接。 是否可以通过 Iptables 或脚本来配置它?我的系统是 Ubuntu 14.04,谢谢。 ...
我目前有这个 IPTABLES 命令: iptables -A INPUT -s ! 192.168.0.2 -p tcp --syn -m connlimit [...] -j DROP 据我所知,此类规则根据各种参数限制了一些连接数,但 192.168.0.2 除外,它可以自由打开无限数量的 TCP 连接。 我担心的是排除更多的 /32 IP(没有特定的范围模式),例如: iptables -A INPUT -s ! IP1 IP2 ... IPN -p tcp --syn -m connlimit [...] -j DROP 使用 ipt...
我尝试使用基于 HTTP 标头字段的 HAProxy 粘表来限制并发连接数。我可以找到大量使用 IP 地址的示例,但这对我而言不起作用。我们的应用程序仅根据 HTTP 标头字段 x-account 区分用户帐户,并期望同时收到来自多个 IP 的请求。 目前我无法提供任何错误消息或任何内容,因为我目前无法理解配置。因此,这是一个关于 HAProxy 的使用/配置的非常基本的问题。 根据我阅读 HAProxy 文档后的理解: 我对 stick-table 的定义如下: stick-table type string size 100m store con...
我有一个受密码保护的目录,其中 htpasswd 文件中有数百个用户。 我想允许在以下条件下下载文件: 检查用户名是否有效(已经完成)。 检查是否存在具有相同用户名的另一个连接。(有用于检查来自相同 IP 的连接是否存在的模块,但我没有找到任何基于用户名的模块) 如果 2 正确,请检查两个连接是否来自同一个 IP。 换句话说,如何限制每个用户同时只能从 1 个 IP 下载? 我已经看到数百篇关于如何根据 IP 限制连接数的文章和问题,但没有一篇基于User。需要澄清的是,User我指的是文件valid-user中的a。htpasswd 举个例子:假设我有...
我在 Dreamhost VPS 上的 nginx 上启动并运行了我的网站。太棒了。我想通过在站点范围的 nginx conf 文件 (/dh/nginx/servers/httpd-psxxxxxx/nginx.conf) 的 http 块中添加以下内容来限制每个 IP 的连接数: limit_conn_zone $binary_remote_addr zone=addr:10m; limit_conn limit_per_ip 50; 重新加载 nginx 并且一切运行正常。 当服务器重新启动时,nginx 无法启动。我不得不再次转到 nginx...