 Добавление модуля connlimit iptables в ядро ветки 2.6.18 [message #40584] |
Thu, 02 September 2010 20:08  |
Yason dinAlt
Messages: 1
Registered: September 2010
|
Junior Member |
|
|
Модуль connlimit (http://linux.die.net/man/8/iptables) используется для ограничения количества соединений с одного ip-адреса, это удобно и хорошо при борьбе с некоторыми видами ddos (забивание вычислительных ресурсов сервера).
Случилось так, что разработчики RedHat и CentOS, компилируют модуль для iptables, включают возможность загрузки модуля в ядре, но не компилируют сам модуль ядра.
В последнем стабильном ядре ветки 2.6.18 его нет:
http://wiki.openvz.org/Download/kernel/rhel5/028stab070.4
Для его компиляции нужно к ядру применить патч:
http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch -o-matic-ng-20100218.tar.bz2
с параметром CONNLIMIT.
На всякий случай подробная инструкция:
http://www.rostovlinux.ru/content/view/2185/56/
Если возможно компилируйте этот модуль в последующих стабильных ядрах.
Другие темы касающиеся iptables, они могут быть полезны тем кто имеет проблемы с модулями этого фаервола на виртуальном хосте:
http://forum.openvz.org/index.php?t=msg&goto=22279
http://forum.openvz.org/index.php?t=msg&&th=8825& ;goto=40327#msg_40327
http://forum.openvz.org/index.php?t=msg&&th=3015& ;goto=15546#msg_15546
P.S. К сообщению прикрепляю файл ipt_connlimit.ko, скомпилированный для ядра:
http://wiki.openvz.org/Download/kernel/rhel5/028stab069.6
Может кому-то будет полезен.
Причина написания сообщения, отказ службы техподдержки моего хостинга собрать этот модуль и обновить свою систему виртуализации. Когда-то, может быть, они решаться обновиться и там уже будет этот чудесный модуль и думаю другим пользователям openvz он не раз спасет хорошее настроение.
|
|
|
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
