Limiter le nombre de connexions pour une durée donnée
-
Bonjour,
Je propose des fichiers aux téléchargements via ftp, sur un serveur derrière pfsense, à certain clients. Chaque clients possède son compte ftp et une adresse ip différentes. Je filtre par rapport à l'ip source et j'ai regroupé tout ce petit monde dans un alias.
Mes fichiers sont mis à jours toute les 20mn mais un "s'amuse" à faire une connexion toute les 3mn. Est-ce qu'il y a moyen de définir un délai minimum entre deux connexions par adresse ip ?
J'ai essayé avec le paramètres "Maximum new connections / per second(s) (TCP only)" avec comme délai 254s mais du coups il ne pouvait plus du tout ce connecter.
-
Salut salut
Je ne suis pas sûre que cela soit du coté de pf que vous ayez à faire ce type de paramétrage, mais plutôt du coté de votre serveur.
Cordialement.
-
Bonjour,
Mon serveur ftp est vsftpd et il ne propose pas un telle option donc je remonte la chaine. Il certain que l'idéal serait que les clients respectent les règles mais parfois certain ne peuvent ou ne veulent pas :(
-
Avec une règle qui s'applique à N clients et avec un nombre maxi de connections, cela s'applique à TOUS les clients.
Il faudrait donc plutôt N règles : une par client !NB : avec des fichiers mis à jour tous les 20 minutes, il ne sert à rien de tenter d'aller chercher tout les 3 minutes !
Un enfant peut comprendre cela ! -
Salut salut
J'avais une question sous-jacente, est ce que Pf fait ou pas, pour ma culture perso.
@ all
Perso je suis plus d'avis de faire cela au niveau des droits des user sur l'Os hébergeant le serveur ftp pas sur Pfsense.
Cela serait un non sens coté sécurité de le faire sur PF s'il le fait bien évidement. ( coup de coude à jdh pour l'info) :pcordialement.
-
Avec une règle qui s'applique à N clients et avec un nombre maxi de connections, cela s'applique à TOUS les clients.
Il faudrait donc plutôt N règles : une par client !Lorsque j'ai testé le paramètre "Maximum new connections / per second(s) (TCP only)" un client qui se connecte de façon raisonnable (toute les 15mn) n'avais pas de problème. Alors qu'un qui tente une connexion toute les 3mn ne pouvait plus du tout se connecter. Ce qui est normal puisque j'ai défini 4mn (valeur max proposé par l'interface de pfsense).
L'idée serait pour un temps mini de 15mn entre chaque connexions :
- l'ip 172.159.86.6 se connecte à 8h, c'est ok.
- l'ip 172.159.56.6 se connecte à 8h03, connexion refusé car pas respecté le temps mini entre deux connexions
- l'ip 172.159.56.6 se connecte à 8h06, connexion refusé car pas respecté le temps mini entre deux connexions
- […]
- l'ip 92.68.67.8 se connecte à 8h07, c'est ok (c'est ça première connexion)
- l'ip 172.159.56.6 se connecte à 8h16, c'est ok les 15mn sont passés.
- l'ip 92.68.67.8 se connecte à 8h28, c'est ok.
Perso je suis plus d'avis de faire cela au niveau des droits des user sur l'Os hébergeant le serveur ftp pas sur Pfsense.
Cela serait un non sens coté sécurité de le faire sur PF s'il le fait bien évidement. ( coup de coude à jdh pour l'info) :pJe suis d'accord mais vsftp ne le propose pas… Ou alors j'ai pas encore trouvé l'option.
NB : avec des fichiers mis à jour tous les 20 minutes, il ne sert à rien de tenter d'aller chercher tout les 3 minutes !
Un enfant peut comprendre cela !C'est ce que je me dis aussi… Mais je dois être trop adulte ;)