Freesco, NND, CDN, EOS

Zwróć uwagę, co napisałem wcześniej:
Wiem, że Twoje regułki limitują ilość połączeń udp. Chodzi mi o to, że robią to niezależnie od tego, czy w danym momencie jest taka potrzeba czy nie. Brakuje w nim elementów, które wytłuściłem w cytacie. Ja myślałem o czymś takim jak connlimit dla tcp, czyli: nie przekroczono limitu - nie ma żadnej blokady:
1) skrypt sprawdza wpisy w tablicy conntrack i zlicza, ile jest wpisów dla danego IP;
2) stwierdza, że przekroczono limit;
3) wtedy (i dopiero wtedy!) zakłada blokadę tak, żeby gość nie był w stanie utworzyć nowych strumieni (ewentualnie z jakimiś wyjątkami typu zapytania DNS). Alternatywnie, w jakiś magiczny sposób usuwa nadmiarowe wpisy z tablicy conntrack.
4) odczekuję np. sekundę i sprawdza ponownie wpisy w conntrack (pkt.1)
5) jeśli ilość wpisów dla danego ip spadła poniżej limitu - zdejmuje blokadę;
i tak w kółko. To pozwoliłoby utrzymywać ilość połączeń "w okolicy" ustalonego limitu. Obawiam się tylko, że taki skrypt napisany w bashu byłby dosyć mocnym obciążeniem dla systemu. A po tym, czego się dowiedziałem od Koriolana widzę, że nie tędy droga i limitowanie połączeń można sobie śmiało darować.

No i mnie nie posluchales i nie postarales sie zrozumiec tych regul. Od tego jest parametr burst.
Ogolnie Twoj pomysl wydaje mi sie mniej skuteczny. Takie limitowanie po czasie. Jak juz zapcha, to nie pozwolimy mu zapychac wiecej, ale polaczenia zapychajace pozostana.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Wracając do tematu GŁÓWNEGO...
Najpewniej jest to facet co ma kupę trojanów/wirusów.
Mam takie same coś rozpoznaję to po tym, że połaczeniua są już ZAMKNIĘTE lub NIEUSTANOWIONE.
(sorry wcześniej nie przyjżałem się temu bliżej)
Oznacza to, że nie ma czego kasować poza wpisem w ip_conntrack który i tak się powinien szybko skasować ( 1-2 minuty).

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

Do agbis.
Nie chce mi się cytować - odpowiem na Twoje dwa posty razem.

1) Parametr kompilacji jądra:
NIE Nie chodziło mi o czasy przez jakie ip_conntrack trzyma połaczenia a o parametr HASZOWANIA tablicy wpisów . Ogólnie jest to podobne do indeksowania - jak dużo wpisów to nie przegląda LINIOWO tylko INDEKSOWO i jest to TRAGICZNE przyspieszenie przy dużewj ilości wpisów.
( powyższe jest napisane poglądowo a nie technicznie - więc się nie czepiać słów).

2)
NIE - należy wyłapać i zabić wirusy na komputerze w sieci u usera.
Innego wyjscia nie ma poza zmianą APków na wydajniejsze.
Zwróć uwagę, że te połaczenia sa z sieci WEWNĘTRZNEJ do internetu i do ... SIECI WEW.
Ja teraz walcze z polaczeniami z wewnatrz z niedozwolonych IP oraz z wewnątrz na niedozwolone IP (od razu widzę skanowanie sieci)

3)
TAK chociaż ktoś powinien sformułowac problem POPRAWNIE:
- Jak ograniczyć ilość lecących pakietów UDP
Tu widać, że nie ma znaczenia czy leca pakiety UDP po tych samych portach czy po innych ( prócz wpisów w ip_conntrack - co umówmy się nie ma znaczenia [pomijam, że jest wpisów np. 20 tysięcy i conntrack zwalnia z powodu wydajności])

4) Patrz punkt 2). Może pokusimy się o ponowne POPRAWNE sformułowanie problemu:
- Nie są problemem małe pakiety czy ilosci małych pakietów, probleme jest KAZA i jej pochodne I WIRUSY oraz TROJANY które wysyłają TRAGICZNIE dużo pakietów na lewo i prawo próbując skanowac sieć lub znaleźć 1500 innych komputerów

A jak już to zrobiliśmy to rozwiązanie jest proste :
- wykryć je i zabić.
(jak user nie współpracuje to odłaczyć )

5) Jakbyś opisywał mój skrypt il_polk.
Aby nie było za łatwo to :
- nie robi punktu 3) - nie zakłada blokady
- co ważniejsze w obecnej wersji liczy TYLKO 'połaczenia' UDP a powinien liczyć pakiety UDP (to jest doś poważny mankament)

Do tasiorek
Masz racje w ostatnim poście.
Blokada powinna być stała rozumiena w sensie : NIE POZWALA NA WIĘCEJ NIŻ...
Agbis pragnie niepotrzebnie okresowej blokady.

Czasami taka blokada się przydaje: jak mi ktoś za mocno przegina - czyli np. nie chce powstrzymać ilości połaczeń Kazyy to przycinam mu tak by internet mu kapał i wtedy jak zgłosi problemy to z nim rozmawiam.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

Parametr ip_conntrack_max nie ustawia czasu trzymania połączeń, tylko (chyba, że się mylę?) ustala wielkość tablicy conntrack. W każdym razie zrozumiałem, że nie o ten parametr Ci chodziło. O haszowaniu i parametrach kompilacji kernela nie podyskutuję, bo na chwilę obecną nie mam o tym pojącia. Zresztą to nie ma większego związku tematem.

Zgadzam się, że na wirusy rozsyłające się po lanie niewiele można zdziałać z poziomu routera. Tylko pytanie: czy źródłem dużej ilości małych pakietów są tylko wirusy? Bo jeśli jakieś programy (np. p2p) również sieją takimi pakietami, tylko w przeciwieństwie do wirusów - przesyłają je do (i z) internetu, to z tym już możemy walczyć. U siebie w sieci widzę, że na interfejsie zewnętrznym mam więcej pakietów mniejszych niż 75 bajtów niż wszystkich innych razem wziętych. Na interfejsie wewnętrznym jest ich jeszcze więcej, ale już nie wiele. Przypuszczam, że są to ARPy i zapytania dhcp. Z tego co gdzieś czytałem, protokół ip działa w ten sposób, że jeśli pakiety giną w drodze do celu to zmniejszana jest częstotliwość ich wysyłania. Więc ubijając je na routerze powinniśmy w ten sposób odciążyć APki. Z wirusami trzeba walczyć na u klientów - na to nie ma rady. Ale warto zrobić co się da na poziomie routera, żeby APki nie wieszały się ani nie "zatykały" z innych powodów

1) Wirusy plus np. Kaza z włączoną opcją 10 000 połączeń ( kiedys jakis id.ta w Chipie bodajrze napisał, że to zwiększa prędkość pobierania )

2) Powinno to byc zapytania dns, ARP raz rozesłany powinien wystarczyc na jakiś czas. Natomist wirus i Kaza nawiązują połacznia więc jest to DUŻO małych pakietów SYNC

3) Tak ale to już na chyba na poziomie stosu TCP?IP natomiast na poziomie aplikacji czyli kazy i wirusów to one to równo olea...

4) Z rozpuszczona Kazą też ..

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

wyglada mi znajomo?

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Mógłby ktoś taki skrypt udostępnić?

_________________
www.lan14.net

dzizys jak zrobić zeby wyswietliły mi sie statystyki połaczeń tak jak przedstawione jest to tutaj? jaka komenda jaki program skrypt i namiary na to bo ja zaraz osiwieje