Linux安全中心—体验另一种iptables [原]

oldrabbit

呵呵，因为服务器的特殊功能需要。

楼主，ACCEPT和DROP是可行，但是只允许一组ip访问，别的ip都不允许呢？比如就允许192.168.223.0/24这个段访问服务器，应该怎么设置？

我知道用iptables可以这么设置：
iptables -I INPUT -s 0/0 -j DROP
iptables -I INPUT -s 192.168.223.0/24 -j ACCEPT

shorewall就不会了。 :help

squall

呵呵，我都已经把shorewall给rpm -e --nodeps了。今天看见你的问题，我又rpm -Uvh了。

不过看到大家都研究这个，我也高兴。

ACCEPT  net:192.168.0.1-192.168.0.254   fw      tcp     22
一条语句即可。

如果只想让192.168.0.0/24这个网段的某几个IP访问，可以这样
ACCPET  net:192.168.0.111,192.168.0.112,192.168.0.113    fw    tcp   22

NAT就别问我了，我这个也没研究过，用路由器吧。

squall

OK，顺便把限制并发连接数的方法发上来。

下载一个apache2.0.52版本，重新编译你的apache，让其拥有worker的模式——MPM，因为默认是prefork模式。worker的工作原理是，由主控制进程生成“StartServers”个子进程，每个子进程中包含固定的ThreadsPerChild 线程数，各个线程独立地处理请求。同样，为了不在请求到来时再生成线程，MinSpareThreads和MaxSpareThreads设置了最少和最多的空闲线程数；而MaxClients设置了所有子进程中的线程总数。如果现有子进程中的线程总数不能满足负载，控制进程将派生新的子进程。

# tar zxvf httpd-2.0.52.tar.gz
# cd httpd-2.0.52
# ./configure --prefix=/usr/local/apache --with-mpm=worker --enable-so（让它支持DSO功能，这样以后可以动态加载模块，省了再重新编译）
# make
# make install
# cd /usr/local/apache/conf
# vi httpd.conf

1. 
   
2. <IfModule worker.c>
   
3. MaxClients 1500
   
4. </IfModule>
   

复制代码

增加客户端的请求数，根据实际情况修改即可。默认20000，在httpd-2.0.52/server/mpm/worker/worker.c可
#define DEFAULT_SERVER_LIMIT 16
#define MAX_SERVER_LIMIT 20000
自行调整。

给apache增加一个mod_limitipconn
# wget http://dominia.org/djao/limit/mod_limitipconn-0.22.tar.gz
# tar zxvf mod_limitipconn-0.22.tar.gz
# cd mod_limitipconn-0.22
# /usr/local/apache/bin/apxs -c -i -a mod_rewrite.c
# 编译好后会自动把mod_rewrite.so拷贝到/usr/local/apache/modules下，并修改你的httpd.conf文件。
# vi /usr/local/apache/conf/httpd.conf

1. <IfModule mod_limitipconn.c>
   
2. <Location />
   
3. MaxConnPerIP 1
   
4. </Location>
   
5. </IfModule>

复制代码

# 保存退出。
# /usr/local/apache/bin/apachectl restart
# 蚂蚁/快车下载测试即可。

PS：现在还有一个问题是，要禁止盗链，不然上面做的限制IP并发就无意义了。mod_rewrite.so模块的语法太复杂，没搞懂，希望会的朋友指点一下。

比如用户要从我的网站上下载一个zip或rar的文件，但必须要在我的网站上能下载，复制链接放到其他网站提示“本网站防止了盗链功能，请从本站指定位置下载”

littlekids

非常好，能解决我的很多问题。因为我是新手，所以喜欢这类工具，尤其是绿色的，^_^
希望作者会不断地改进，为linux的普及作出更大的贡献

yjyjyj608

haodongxi