[Sysadmins] Hosting server AltLinux Server 4.0.1 (openvz)

[Michael Shigorin]

On Wed, Oct 10, 2007 at 09:51:01AM +0400, Timur Batyrshin wrote:
> > > В процессе реализации вешеописанной схемы у меня возникли
> > > вопросы: 1. VM1 (nginx) прекрасно видит Vm2 и его клоны
> > > (172.16.1.100/24), но VM2 не видит интернет. Мне нужно
> > > поднимать NAT на ROOT?
> > Да. (для проброса портов при этом используется DNAT, а e.g.
> > DoS и невменяемых рубим не в INPUT, а в FORWARD)
> А есть какие-нибудь примеры порубки? Я составлял себе правила
> на основе примера из iptables-tutorial. Мне кажется, там общие
> проблемы решаются (new not syn и т.д.), а решение более
> конкретных типа того же DoS где бы посмотреть?

Смотря какой DoS... где руками, где 

-A http-flood -p tcp -m tcp -m limit --limit 1/s --limit-burst 2 -j ACCEPT
-A icmp-flood -p icmp -m icmp --icmp-type 8 -m limit --limit 5/s --limit-burst 25 -j ACCEPT
-A syn-flood -m limit --limit 10/sec --limit-burst 50 -j RETURN

до более автоматизированного/умного не добирался.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua