Freesco, NND, CDN, EOS

Ja dałem Ci ogólną radę (choć w przykładzie).
Generalnie chodzi o to, że jak nie wiesz czy dana regułka działa np. (blokujaca wirusa Blaster):
to dokładasz PRZED NIĄ dla [-A] regułkę 'logującą' (z limitem by logi nie zapchały dysku):
Następnie uruchamiasz/restartujesz iptables/rc.firewall czy co tam masz i sprawdzasz czy reguły się dopisały:(zapis reguł do pliku "t.t"). Tam widzisz :
prawie wołami napisane, że NAJPIERW iptables loguje uzycie portu 135 a później go zabrania. Mało z tego : opcja [-v] pokaże ile razy regułka była zastosowana.
W tym przypadku 0 - razy.
A tak wygląda regułka którą zapisałem w poprzednim poście : Widać, że była ZASTOSOWANA do 1031 - pakietów i zdropowała 49,488 bajtów.
Na koniec zaglądasz do logów i masz tam ".... Se sprawdzam..." o ile regułka działa i cośkolwiek ogranicza.

Tako rzecze Koriolan.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

link nie chodzi. uzylem zciecha ale przelecialy kasowane polaczenia. i nic. potem zgrepowalem netstat-nat ale znowu bylo tyle samo polaczen

_________________
------------------------
HOUSE music

Zobacz na :
http://195.116.234.1/nnd/download/NND_pakiety/testowe/
Łącze od tamtej strony jest Mocno ograniczone

Pobierz też sobie il_polk lub il_pol z reliserv.
Pokazuje to na stronie ilość połączeń danego usera.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

niestety, ten link tez zdechly

_________________
------------------------
HOUSE music

netstat-nat -n | grep 192.168.0.1 | cat -b

Wie ktos czy mozna zrobic cos takiego by ilosc polaczen dla danego usera byla wyswietlana w statystykach ipfm tak jak np wyswietlane sa staty niceshapera??

_________________
Multimo 6mbit P PII 233 128MB RAM hdd:3,2GB@40GB 15 users@WiFi

Odświeże trochę ten temat, bo porobiłem trochę testów.

Sprawdzałem poniższe formułki:


I działają ładnie, ale niestety nie na przekierowane porty. Zapuściłem Azureusa na 4 pliki z duża ilością seedów, przekierowanym portem 27960 i niestety olewa on ograniczenie połączeń nawiązanych (ESTABLISHED), połączenia rosną, nawet do 350 tpc ESTABLISHED.
Sprawdzałem poprzez netstat-nat -n | grep 10.0.0.2 | grep ESTABLISHED | wc -l

Pytanie więc brzmi czy tak powinno być, tzn. czy te regułki nie powinny przyciąć Azuerusa (w moim przypadku)?
Czy u Was jest tak samo?
Więc jak zrobić limit na ilość połączeń nawiązanych dla p2p które maja przekierowane porty?

_________________
W LAN-ie wszyscy jesteśmy jedną wielką rodziną.
DSL 4mbit | 12 osób

Podejrzewam, ze wystarczy wpisac te reguly przed regulami przekierowania.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Podczas testów, zawsze dodawałem przed w iptables.rules (używam Firewall Czerwa)

wycinek z iptables.rules (w tej chwili):

_________________
W LAN-ie wszyscy jesteśmy jedną wielką rodziną.
DSL 4mbit | 12 osób

Odświerzę temat, bo ostatnio miałem problem z jednym klientem (ma przekierowane publiczne IP) - jak odpalał swojego P2P, to potrafił narobić nawet 2000-2200 "połączeń" UDP
Wykumałem coś takiego:


Jak ręką odjął - teraz ma najwyżej 150-200.

Co najciekawsze, ten limit działa tylko na pakiety, próbujące ustanowić nowe "połączenia", nie ograniczając ilości pakietów, które lecą w ramach "połączeń" już "nawiązanych". Można pokombinować z innymi wartościami limitów.

P.S.
Celowo piszę połączenia i nawiązane w " ... " - chodzi oczywiście o "połączenie" rozumiane jako wpis w tablicy conntrack.

_________________
F33/F07,F11,F13,F17

cos podobnego mam:

iptables -t filter -A FORWARD -p udp -s $IP -m conntrack --ctproto udp \
--ctstate NEW -m limit --limit 6/h --limit-burst 10 -j ACCEPT



iptables -t filter -A FORWARD -p udp -s $IP -m conntrack --ctproto udp \
--ctstate RELATED,ESTABLISHED -m limit --limit 1/s -m length --length 300:1500 -j ACCEPT



iptables -t filter -A FORWARD -s $IP -p udp --dport ! 53 -m time --timestart 07:00 --timestop 23:59 -j DROP

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

sprawdziłem regulki Viatera.... dzialaja bezblednie

z kilkuset wpisow (do ponad tysiaca) dla UDP klienta z przekierowanym IP zrobilo sie nie wiecej niz 250.... nareszcie jakis progres

EDIT
.... nareszcie jakiś progres NA MOIM SERWERZE W TEJ MATERII...

Nareszcie? Rozwiazanie tego problemu jest w faq od czasu jego powstania.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

nie lepszy bylby lancuch:

wtedy polecenie

nie pokazywaloby polaczen blokowanych i nie wprowadzalo
w blad potencjalnych uzytkownikow
tak mam u siebie od jakiegos czasu i wydaje mi sie to trafniejsze.

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

:*

Standardowo w NND jest o ile się nie mylę nieco ponad 8 tysięcy możliwych jednocześnie połączeń. Klient p2p sam z siebie jest w stanie wywołać 500 (na przykładzie Ktorrent), 20 takich klientów zablokuje sieć. Jeśli ograniczymu userowi ilość jednoczesnych połączeń, zapobiegniemy zapchaniu sieci, ponadto w przypadku userów mających wirusy rozsyłające spam, także możemy to przynajmniej ograniczyć...

_________________
Belfer.one.PL
Audio Cafe

Czym jest spowodowane to ograniczenie?

Wielkością tablicy conntrack a ta jest zalezna od ilości pamieci.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Jest i moj ulubiony specjalista
Sens jest taki, ze nie zdycha tablica conntrack (oczywiscie mozna ja zwiekszyc) i modemy od tepsy tez zbyt wydajne nie sa.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Więc właśnie, czyli nie ma jako takiego limitu, limitem jest wydajnośc sprzętu.