标签为 "iptables" 的存档

高并发服务器重启iptables要小心

最近有台服务器因iptables规则需要调整,但重启过后网络立马就不通了。不通之后查看了/var/log/messages发现有如下报错 :cry:

 

Jun 10 10:18:57 dl1JZV33X kernel: ip_tables: (C) 2000-2006 Netfilter Co

iptables的limit模块使用

前些时候发现有的服务器ping之后,前面几个包是通的,后面几个包就断续断续了,本来以为对方服务器问题,后来和对方确认后后来对方开了防火墙。后来研究发现了iptables的limit可以实现这个功能,以icmp为例:

iptables -A INPUT -p icmp -m limit –limit

apache使用mod_limitipconn.c来限制apache的并发数

1.今天和同事并发测试,apache的prefork设置最大连接是2000,一会就被耗尽了,页面打不开了。prefox配置如下:
#cat /usr/local/httpd/conf/extra/httpd-mpm.conf

<IfModule mpm_prefork_module&gt

iptables 小例子

工作用到的iptables脚本列举如下:

1.某服务器,开启ftp等服务,脚本如下:

iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.23.100 -p tcp -m tcp -j ACCEPT
iptables -A INPUT -s 192.168.23.184 -p tcp -m tcp -j ACCEPT
iptables -A INPUT -s 192.168.23.244 -p tcp -m tcp -j ACCEPT
iptables -A INPUT -s 192.168.23.184 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s ! 172.20.0.0/16 -p tcp --dport 80 -j DROP
modprobe ip_conntrack_ftp
Feed