Freesco, NND, CDN, EOS

Nie wiem co robie nie tak. Wpisałem do zapory ogranieczenie ilości połączeń oraz żeby nie były zawieszone i nic nie działa

netstat-nat -n | grep ESTABLISHED | wc -l
697
192.168.0.3 14
192.168.0.4 450
192.168.0.5 170
192.168.0.7 67


a w firewallu mam wpisane
$i -A FORWARD -s 192.168.0.2 -o eth0 -p tcp -m connlimit --connlimit-above 200 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
$i -A FORWARD -s 192.168.0.3 -o eth0 -p tcp -m connlimit --connlimit-above 200 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
$i -A FORWARD -s 192.168.0.4 -o eth0 -p tcp -m connlimit --connlimit-above 200 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
$i -A FORWARD -s 192.168.0.5 -o eth0 -p tcp -m connlimit --connlimit-above 200 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
$i -A FORWARD -s 192.168.0.6 -o eth0 -p tcp -m connlimit --connlimit-above 200 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
$i -A FORWARD -s 192.168.0.7 -o eth0 -p tcp -m connlimit --connlimit-above 200 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

no i niikt nie wie gdzie wpisuje ?:) no kurcze ucze sie no i tak już serwerek postawiłem

$i -A FORWARD -s 192.168.0.2 -o eth0 -p tcp -m connlimit --connlimit-above 200 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
Przekombinowales
Obawiam sie ze na interfejsie wyjsciowym -o (eth0) nie pojawi sie nigdy pakiet z adrsu -s 192.168.0.2, co spowodowane jest dzialaniem maskarady, tam wszystkie pakiety maja adres zrodla taki jak eth0

Wiecej znajdziesz w linku na dole.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Tak szczerze to ten temat jest strasznie chaotyczny.. ktos podaje regulki, kilka osob krytykuje i nie dziwie sie ludziskom ze nie moga znalezc niczego konkretnego.

Ja skorzystalem z regulki ktore podawal zciech:


Ale zauwzylem ze caly ruch p2p sunie po UDP wiec po zmianie tej samej regulki TCP na UDP mam:


Teraz sie pytam jakie regulki sa dobre na udp - (tylko nie mowcie przejdz na strone 4 bo to co tam jest wyglada jak towar na targu ulicznym).

Rozumiem tez ze przy regulce zciecha ustalam globalnie dla calej sieci ograniczenie (prosze poprawic jak sie myle), a co jak jeden uzytkownik p2p zabierze okolo 90% polaczen - reszta kosztem jednego nie moze miec problemy www? Moze lepiej zalatwic to wpisami na konkretnego usera, jak tak to jakimi (tez bylo, ale przewaznie kazda regulka byla krytykowana - wiec pytam co w koncu ma byc?). Z gory dzieki za odp.

connlimit v1.3.1 options:
[!] --connlimit-above n match if the number of existing tcp connections
is (not) above n
--connlimit-mask n group hosts using mask

connlimit dziala tylko na tcp nie na udp dlatego blad masz.
--connlimit-mask 32 powoduje ze kazdy host traktowany jest indywidualnie

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

zauwazylem od niedawna ze faktycznie zamula siec. sprawdzilem i w sumie bylo 2000 polaczen. przeczytalem topic. najpierw strona z optymalizacja NND. potem regulki tu z topicu. iptables save -> restart i nic. dalej 1800 -> 2000 dopiero po restarcie serwera zauwazam gora 100 polaczen. dlaczego?

a tak nawiasem jest komenda w netsta-nat ktore pokazuje ilosc polaczen poszczegolnego IP?

_________________
------------------------
HOUSE music

niom a nie

netstat-nat -n -s 192.168.1.123 |grep ESTABLISHED |cat -b

opcjonalnie

Pozdro

_________________
Symetryk światło, CDN2 3.1.4-4-ARCH i686 AMD E-350 Processor AuthenticAMD & kilku użyszkodników

Spróbuj ograniczać UDP przez tą regułkę:

Od czasu jak przestałem stosować różne śmieszne ograniczenia UDP to Skype zaczął normalnie działać, nie wpłynęło to na wzrost ilości połączeń, obciążenie serwera, etc.
Pozdrawiam

_________________
Symetryk światło, CDN2 3.1.4-4-ARCH i686 AMD E-350 Processor AuthenticAMD & kilku użyszkodników

Czy może ktoś to jeszcze raz potwierdzić motywując logicznie ze ta formułka dzieli dynamicznie ilośc połączeń na userów?Bo coś nie chce mi sie w to wierzyć : -A FORWARD -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 200 --connlimit-mask 32 -j DROP

Ile razy chcesz mieć potwierdzane, mam wpisaną tam wartość 150, łączna ilość nawiązanych połaczeń wg mrtg wynosiła czasami około 500, prosty wnisek - zrobiło to kilku userów.

_________________
Symetryk światło, CDN2 3.1.4-4-ARCH i686 AMD E-350 Processor AuthenticAMD & kilku użyszkodników

Sam se potwierdź:
Oczywiscie ta linia musi byc PRZED linią z cytatu
Jak Ci sie znudzi juz potwierdzenie to dodaj/zamień:

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

No to ja chyba mam inne NND :-) bo jak dla mnie to żadne z tych obcięć nie zmniejszyło liczby połączeń -chyba że za krótko czekałem-po jakim czasie powinny sie pojawić widoczne zmiany?Adamol piszesz że masz wpisaną wartość 150 a otrzymujesz 500??A wiec jest to limit na usera nie na cały interfejs?A skoro na usera to czy limit 200 nie jest troche przesadzony??Koriolan gdzie po Twojej linijce powinny pokazać mi sie logi ?Czy komuś również te linijki nie działają jak należy?

A moze zamiast -A FORWARD wstaw -I FORWARD ??

Heh, jest przesadzony, obecnie mam 100 i jest OK, mam oprócz tego imq p2p i działa, ciekawi mnie jak ma się connlimit do wirtualnych interfejsów, czy połączenia użytkownika idące na różne interfejsy wirtualne są zliczane czy może jakoś inaczej.
Pozdro

_________________
Symetryk światło, CDN2 3.1.4-4-ARCH i686 AMD E-350 Processor AuthenticAMD & kilku użyszkodników

A co masz w syslog'u ?
Masz to Se potwierdź ??
Jak mnasz to znaczy, że ogranicza, co najwyżej niewydolnie.

Zwróć też uwagę, że ograniczenia są po ILOŚCI a nie po wielkości transferu.

Jak 'Se potwierdzam' Ci nie starczy to daj se coś takiego :
tcpdump -n -i <eth?> host <ip_hosta z za duża liczbą UDP>

====
Po częsci masz racje ja mam NN a nie NND

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

ograniczenie przyjmuje bez zajakniecia:
iptables -I FORWARD -s $IP -p tcp -m connlimit --connlimit-above 50 -j DROP
ale trzeba robic restart, mozna jakos skasowac polaczenia uzytkownika?

_________________
------------------------
HOUSE music

Koriolan : tylko to mi ładnie tnie połączenia
iptables -I FORWARD -s 192.168.0.x -p tcp -m connlimit --connlimit-above 30 -j DROP wiec ustawiam dla każdego ip osobno i chyba to ma jedynie sens. Z tym parametrem -j REJECT --reject-with tcp-reset liczba połączeń wzrastała(??).Co do logów to niestety nie pokazało mi sie nic nawet jak ustawiałem w regułce z postu powyżej wartości bliskie 0 :-(.

ale oczywiscie tam gdzie jest $IP wpisywales IP uzytkownika?

iptables -I FORWARD -s 192.168.1.x -p tcp -m connlimit --connlimit-above 50 -j DROP

Mi ta bałwan jestem chodzi bez zadnego problemu, tyle ze z tym restartem.

_________________
------------------------
HOUSE music

Tak tcp kasuje skrypt clr_conns z reliserv Zciecha.
Lub mój jeśli masz jakieś 'przekierowania'.
http://www.pitsoft.pl/nnd/download/NND_pakiety/testowe/

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator