Iraklis's questions

我正在尝试设置一些基本的 DOS 保护。以下 iptables 规则适用于 CentOS 机器，但不适用于 debian (wheezy)。

#limit the parallel http requests to 50 per class C sized network    
iptables  -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 50 --connlimit-mask 24 -j REJECT --reject-with tcp-reset

我正在使用 GoldenEye DOS 工具（以及其他工具），并且在 CentOS 连接被成功拒绝，但是在 debian 盒子中没有任何反应（CPU 上升到 100%，apache 变得无响应）

知道可能会发生什么吗？规则已成功添加到 IPTABLES 规则列表

root@bedrock ~ # iptables -L | grep httpflags
REJECT     tcp  --  anywhere             anywhere             tcp dpt:httpflags: FIN,SYN,RST,ACK/SYN #conn src/24 > 50 reject-with tcp-reset

root@bedrock ~ # cat /etc/*-release
PRETTY_NAME="Debian GNU/Linux 7 (wheezy)"
NAME="Debian GNU/Linux"
VERSION_ID="7"
VERSION="7 (wheezy)"
ID=debian
ANSI_COLOR="1;31"
HOME_URL="http://www.debian.org/"
SUPPORT_URL="http://www.debian.org/support/"
BUG_REPORT_URL="http://bugs.debian.org/"

root@bedrock ~ # lsmod | grep ip
xt_multiport           12548  12
ipt_REJECT             12502  3
ipt_LOG                12605  8
iptable_mangle         12536  0
iptable_nat            12928  0
nf_nat                 18242  1 iptable_nat
nf_conntrack_ipv4      14078  16 nf_nat,iptable_nat
nf_defrag_ipv4         12483  1 nf_conntrack_ipv4
nf_conntrack           52720  5 nf_conntrack_ipv4,nf_nat,iptable_nat,xt_state,xt_connlimit
ip6table_filter        12540  0
ip6_tables             22175  1 ip6table_filter
iptable_filter         12536  1
ip_tables              22042  3 iptable_filter,iptable_nat,iptable_mangle
x_tables               19118  14 ip_tables,iptable_filter,ip6_tables,ip6table_filter,iptable_nat,iptable_mangle,xt_tcpudp,xt_state,xt_limit,ipt_LOG,ipt_REJECT,xt_multiport,xt_recent,xt_connlimit

我在 CentOS 机器上运行一个 shoutcast v1 流媒体服务器。当我以 root 身份启动服务器时，我可以毫无问题地流式传输到 1200-1300 个客户端。

但是，当我以不同的用户 (ccuser) 身份运行服务器时，当连接达到 ~1019 时，shoutcast 服务器会冻结。

我已经为 root 和 ccuser 使用适当的设置编辑了 /etc/security/limits.conf，并且在重新启动后，ulimit -a 确认了它：

root@nsxxxxxx ~/monitoring # su - ccuser
-bash-4.1$ ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 515170
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 16384
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 1024
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

我猜还有其他一些保护措施/设置禁止普通用户在单个端口上拥有超过 ~1000 个连接。有人有什么想法吗？

拥有一个使用 lighttpd 来提供服务的专用 CentOS 盒子www.newdomain.com。但是，同一 IP 用于托管旧域www.olddomain.com。

该框仍然收到请求www.olddomain.com。

阻止这些请求的最有效方法是什么？

• 通过 iptables 规则
• 根据 lighttpd 中的规则
• 添加 hosts.deny
• 另一个没有想到的选择

注意：我无权访问名称服务器或域记录www.olddomain.com

在过去的 6 年里，我一直是黑莓用户。我说服自己改用 Android 设备。我已经开始了一些 Android 开发，所以拥有一个真正的 android 设备将是一个奖励。

我的问题：推送电子邮件在非黑莓手机中究竟如何工作？这是我通过一些演绎推理收集到的，但请纠正我：在 BB 上，有 Blackberry Internet Service 或 Blackberry Enterprise Service。它们是 RIM 控制的服务器，它们汇集您的电子邮件帐户（无论是 gmail 帐户还是您自己的 linux 机器上的 imap 帐户）以接收新电子邮件。一旦收到新电子邮件，他们就会将该电子邮件推送到您的手机。他们知道您的电话的方式/位置（它的 IP 地址或其他独特特征），因为每次您订阅 GPRS/3G 天线时，您的移动运营商都会通知 BB，可以通过地址 Z 联系到使用电话 Y 的客户 X。

现在在非 BB 场景中会发生什么？我自己运行 imap（比如 dovecot）的 linux 服务器如何知道如何联系我的手机以“推送”新电子邮件？

阅读了一些内容后，我偶然发现了 IMAP IDLE，据我所知，这是客户端（在本例中为我的手机）用来对服务器说的 IMAP 命令：“嘿，我是客户端 X，我的地址是Y，所以如果有任何新电子邮件出现，请将其推送到这里”。

这是我逐渐失去理解的地方：这是否意味着每次我从一个移动天线切换到另一个（假设我正在路上行驶）我的手机都会向我的 dovecot 服务器发送一个新的 IMAP IDLE 命令说“嘿，我的联系地址变了，请用这个”。

当您同时使用 WIFI 和 3G 时会发生什么？您的手机是否发出两个 IMAP IDLE 命令？

最后，是否所有手机（有数据计划）都有唯一的 IP 地址？如果不是（比如电信公司 NATs 你）我的 imap 服务器如何启动与我的设备的通信？

如您所见，我有点迷路了，如果能提供更多信息，我将不胜感激。

我在 CENTOS 中设置 ACL 权限。

我正在接近我想到的结构，但是缺少一块来完成拼图。

有没有办法隐藏特定用户/组的文件/目录？

我不是在谈论无法阅读，将目录更改为它。我想对特定的用户/组完全隐藏它（不显示ls -la）。