• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SuSEfirewall2 Option FW_SERVICES_ACCEPT_EXT konfigurieren

P

peter.honka

Newbie
Hallo,

habe immer mal wieder das Problem, dass manche Suchmaschinen und Offline-Reader es mit dem Scan meiner Webseite massiv übertreiben und
dann pro Sekunde eine Vielzahl von Seiten anfordern.

Natürlich will ich Suchmaschinen nicht in Ihrem Scan behindern - so manchen schlecht konfigurierten Offline-Reader allerdings schon.

Daher frage ich mich, ob es nicht Sinn macht, eine Obergrenze für die Anzahl der Objekte einzurichten, die pro Client in einem Zeitraum X abgefragt werden können.

Da ist mir bei der SuSEfirewall2 die Option "FW_SERVICES_ACCEPT_EXT" ins Auge gefallen. Folgende Regel würde dann wohl alle Ips, die pro 10 Sekunden mehr als 500 Objekte über http anfordern, blockieren.

FW_SERVICES_ACCEPT_EXT="0/0,tcp,80,,hitcount=500,blockseconds=10,recentname=www"

Ich habe das allerdings noch nicht getestet und frage mich, ob hier noch andere mitlesen, die Ähnliches ausprobiert haben und mir dazu etwas sagen können.

Danke & Gruss
Peter
 
S

spoensche

Moderator
Teammitglied
ist das 2. komma hinter der portangabe(80) ein tippfehler oder hast du das dort genau so eingetragen? wenn ja mach das 2. komma mal weg
 
OP
P

peter.honka

Newbie
Hallo,

spoensche schrieb:
ist das 2. komma hinter der portangabe(80) ein tippfehler oder hast du das dort genau so eingetragen? wenn ja mach das 2. komma mal weg
Zum Vergrößern anklicken....

ich komme erste Ende der Woche dazu das zu testen. Aber das 2. Komma ist kein Tippfehler.

In /etc/sysconfig/SuSEfirewall2 steht:

------------------------------------------------
Zitat:
------------------------------------------------
## Type: string
## Default:
#
# Services to allow. This is a more generic form of FW_SERVICES_{IP,UDP,TCP}
# and more specific than FW_TRUSTED_NETS
#
# Format: space separated list of net,protocol[,dport[,sport[,flags]]]
# Example: "0/0,tcp,22"
#
# Supported flags are
# hitcount=NUMBER : ipt_recent --hitcount parameter
# blockseconds=NUMBER : ipt_recent --seconds parameter
# recentname=NAME : ipt_recent --name parameter
# Example:
# Allow max three ssh connects per minute from the same IP address:
# "0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh"
#
# The special value _rpc_ is recognized as protocol and means that dport is
# interpreted as rpc service name. See FW_SERVICES_EXT_RPC for
# details.
#
FW_SERVICES_ACCEPT_EXT=""
-----------------------------------------------

Gruss
Peter
 
OP
P

peter.honka

Newbie
spoensche schrieb:
ist das 2. komma hinter der portangabe(80) ein tippfehler oder hast du das dort genau so eingetragen? wenn ja mach das 2. komma mal weg
Zum Vergrößern anklicken....

ohne das zweite Komma gehts leider auch nicht:

[...]
SuSEfirewall2: Error: iptables-batch failed, re-running using iptables
iptables v1.3.8: invalid port/service `hitcount=1' specified
[...]

Gibts hier noch jemanden, der versucht, FW_SERVICES_ACCEPT_EXT zu konfigurieren und es vielleicht sogar geschafft hat?

Gruss
Peter
 
OP
P

peter.honka

Newbie
Des Rätsels Lösung:

Man darf natürlich in "FW_SERVICES_EXT_TCP" "http" nicht auch noch reinschreiben. Sonst reglementiert man unter "FW_SERVICES_ACCEPT_EXT" etwas, dass man unter "FW_SERVICES_EXT_TCP" generell schon erlaubt hat.

Dann funktioniert die Sache prima und Sauger auf Port 80 werden elegant ausgebremst.

Gruss
Peter Honka
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben