Freesco, NND, CDN, EOS • Wyświetl temat

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Limit połączeń

Moderatorzy: tasiorek, JakubC, Mis'

Strona 2 z 3

[ Posty: 42 ]

Przejdź na stronę Poprzednia 1, 2, 3 Następna

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

MAC!EK

Tytuł:

: środa, 13 września 2006, 22:00

MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa

To chyba jest jakoś tak z tego co gdzieś wyczytałem i z tego co mi się zdaje

Jak jest REJECT to programy nie próbują dalej nawiązać połączenia, a jeśli jest DROP to program nie wie co się stało że nie udało się nawiązać połączenia i próbuje je nawiązać ponownie.

DROP nie wysyła żadnego komunikatu do próbującego nawiązać połączenie czyli jakby oszczędza w ten sposób łącze(ale tutaj to lan więc nie ma się raczej co martwić).
REJECT odpowiada na każdą próbę nawiązania połączenia odrzuceniem (nie oszczędza łącza) ale każdy normalny program przestanie próbować nawiązywać połączenie.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Na górę

sert

Tytuł:

: środa, 13 września 2006, 22:38

Użytkownik

Rejestracja: sobota, 17 grudnia 2005, 00:08
Posty: 175

jak nie masz problemu z polaczeniami nawiazanymi to dobrze bo ta regulka co podales to z tego co wiem to limituje polaczenia nawiazane,

piszesz ze masz nawet po 1000polaczen na usera sprawdz jakie to polaczenia czy ASSURED po udp czy inne,

i jeszcze jedno mialem kiedys podobny problem i w sumie po dzien dzisiejszy go nie rozwiazalem http://forum.freesco.pl/viewtopic.php?t ... highlight= z niczego mialem ponad 1000 polaczen nie wiem czy to nie byl moze jakis vir w kazdym razie po instalce na nowo wszystko wrocilo do normy

Na górę

ernidok

Tytuł:

: czwartek, 14 września 2006, 13:00

Użytkownik

Rejestracja: sobota, 17 stycznia 2004, 22:15
Posty: 129

a można limitować połączenia inne oprócz nawiązanych??

Na górę

ernidok

Tytuł:

: czwartek, 14 września 2006, 13:13

Użytkownik

Rejestracja: sobota, 17 stycznia 2004, 22:15
Posty: 129

erni pisze:

limit ten dotyczy najwyrazniej polaczen z flaga ESTABLISHED, gosc ma setki polaczen TIME_WAIT oraz ASSURED.
Teraz nie wiem, czy te polaczenia sa w stanie blokowac ruch na AP, czy licza sie tylko te nawiazane. Jak to zwalczyc?

wracając do wypowiedzi erniego to jest chyba poważny problem dla AP'eków, sam tego doświadczam, przynajmniej tak przypuszczam że to wina duzej ilości poąłczeń i AP nie daje rady. Przykład: gostki ciągną mułami i tymi innymi= dużo połączeń= pingi do WAP'a nawet ponad 1000ms + restart serwera= pingi spadają do normy 3ms. Po restarcie maszyny pingi powracają do długich.

Na górę

ernidok

Tytuł:

: niedziela, 17 września 2006, 14:51

Użytkownik

Rejestracja: sobota, 17 stycznia 2004, 22:15
Posty: 129

dzisiaj zobaczyłem że mam połączenia TCP EST. powyzej ilości jaką ustaliłem bałwan jestem. czy w dobrym miejscu wpisałem te bałwan jestem czy to nie ma znaczenia.

EDIT
KU... Panowie zjadłem "n", ale jeszcze nie wiem czy ogranicza ;D

Na górę

blackangel

Tytuł:

: poniedziałek, 18 września 2006, 20:09

Użytkownik

Rejestracja: sobota, 10 września 2005, 15:25
Posty: 280
Lokalizacja: Bielsko-Biała

: [/] [] ()

ilość procesów: 34
ilość połączeń ESTABLISHED: JMrozinski: 0
ilość połączeń ESTABLISHED: Sylwia: 1
ilość połączeń ESTABLISHED: Bogdan: 53
ilość połączeń ESTABLISHED: Daniel: 8
ilość połączeń ESTABLISHED: Kazimierz: 0
ilość połączeń ESTABLISHED: Rafal: 2
ilość połączeń ESTABLISHED: AP1: 0
ilość połączeń ESTABLISHED: AP2: 0
ilość połączeń ESTABLISHED: DanielK: 3
ilość połączeń ESTABLISHED: Armen: 2
W tablice conntrack dla 192.168.0.2 - 0
W tablice conntrack dla 192.168.0.3 - 7
W tablice conntrack dla 192.168.0.4 - 165
W tablice conntrack dla 192.168.0.5 - 596
W tablice conntrack dla 192.168.0.6 - 0
W tablice conntrack dla 192.168.0.7 - 13
W tablice conntrack dla 192.168.0.8 - 0
W tablice conntrack dla 192.168.0.9 - 0
W tablice conntrack dla 192.168.0.10 - 33
W tablice conntrack dla 192.168.0.11 - 2
ogółem w tablicy ip_conntrack połączeń: 832
ogółem w tablicy ip_conntrack połączeń inaczej: 789

GeSHi © Codebox Plus

chyba 832 to dużo tylko jak je wyeliminować ??

I jeszcze jedno dlaczego po wpisaniu regułki

: [/] [] ()

$IPTABLES -A FORWARD -p tcp --syn -s 192.168.0.2 -m connlimit --connlimit-above 100 -j REJECT
$IPTABLES -A FORWARD -p tcp --syn -d 192.168.0.2 -m connlimit --connlimit-above 100-j REJECT 

GeSHi © Codebox Plus

mam w iptables.rules

: [/] [] ()

-A FORWARD -s 192.168.0.2 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable 
-A FORWARD -d 192.168.0.2 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable 

GeSHi © Codebox Plus

_________________
http://83.19.41.42/stats/
<Waldeck> mam takie lagi ze jak wpisuje w google prezydent rp to wyskakuje Walesa

Na górę

MAC!EK

Tytuł:

: poniedziałek, 18 września 2006, 20:40

MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa

blackangel pisze:

I jeszcze jedno dlaczego po wpisaniu regułki

: [/] [] ()

$IPTABLES -A FORWARD -p tcp --syn -s 192.168.0.2 -m connlimit --connlimit-above 100 -j REJECT
$IPTABLES -A FORWARD -p tcp --syn -d 192.168.0.2 -m connlimit --connlimit-above 100-j REJECT 

GeSHi © Codebox Plus

mam w iptables.rules

: [/] [] ()

-A FORWARD -s 192.168.0.2 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable 
-A FORWARD -d 192.168.0.2 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable 

GeSHi © Codebox Plus

a co niby chciałbyś mieć?
Te "dodane" opcje to są defaultowe ustawienia zdaje się, a ty używasz iptables save i tak ci je zapisał.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Na górę

blackangel

Tytuł:

: poniedziałek, 18 września 2006, 20:48

Użytkownik

Rejestracja: sobota, 10 września 2005, 15:25
Posty: 280
Lokalizacja: Bielsko-Biała

Acha no ale dalej mi nie przycina ech załamać się idzie

_________________
http://83.19.41.42/stats/
<Waldeck> mam takie lagi ze jak wpisuje w google prezydent rp to wyskakuje Walesa

Na górę

MAC!EK

Tytuł:

: poniedziałek, 18 września 2006, 21:34

MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa

blackangel pisze:

Acha no ale dalej mi nie przycina ech załamać się idzie

Przecież żaden komp nie ma established więcej niż 100 , chyba o to chodziło ?

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Na górę

ernidok

Tytuł:

: wtorek, 19 września 2006, 09:07

Użytkownik

Rejestracja: sobota, 17 stycznia 2004, 22:15
Posty: 129

u mnie walka z wiatrakami.
zastosowany wpis $iptables -I FORWARD -s adres ip -p tcp -m connlimit --connlimit-above 30 -j DROP, a gościo ma 150 połączeń EST.
a pokazuje mi polecenie netstat-nat -n -s goscio | grep ESTABLISHED | wc -l.
cóż zrobić :cry:

Na górę

czerwo

Tytuł:

: wtorek, 19 września 2006, 09:36

MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice

a po jakim czasie to sprawdzasz??

_________________
Obrazek

Na górę

ernidok

Tytuł:

: wtorek, 19 września 2006, 11:50

Użytkownik

Rejestracja: sobota, 17 stycznia 2004, 22:15
Posty: 129

po kilkunastu minutach a moze nawet kliku godzinach

Na górę

MAC!EK

Tytuł:

: wtorek, 19 września 2006, 21:43

MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa

a przed regułką nie miał czasem powyżej limitu? bo jesli tak to iptables mu nie zabije tych połączeń.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Na górę

erni

Tytuł:

: wtorek, 19 września 2006, 22:52

Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice

spróbuj użyć clr_conns_all
ja teraz na probe ograniczylem limit do 10 polaczen, chociaz ciezko mi sprawdzic, czy on dziala, bo rzadko sie zdarza, zeby ktos przekroczyl ten limit

testuje jeszcze moje regulki. jutro pusze p2p i zobaczymy czy ogranicza (teraz ma ciezko przejsc cokolwiek przez ipp2p i layer7

).
bardziej zalezy mi na udp (nie wymawiam slowa 'polaczenie', bo dyskusja przemienila by sie w tlumaczenie, ze nie ma czegos takiego jak polaczenia UDP

)

Na górę

adamol

Tytuł:

: środa, 20 września 2006, 21:10

Użytkownik

Rejestracja: sobota, 22 października 2005, 01:49
Posty: 412
Lokalizacja: 3-City

Jak 10 nie przekraczają :?:

... a P2P

Ogólnie regułki są si ... dla testów robiłem max ~10 połączeń limitu i po odpaleniu p2p net nie działał, dla osobnych regułek z ipp2p www chodziło ale emułki nie działały, zresztą otwarcie kilkunastu stron www przy limicie 10 kończyło się przekroczonym czasem oczekiwania ....
Czyli regułki działają.

Pozdro

_________________
Symetryk światło, CDN2 3.1.4-4-ARCH i686 AMD E-350 Processor AuthenticAMD & kilku użyszkodników

Na górę

erni

Tytuł:

: środa, 20 września 2006, 21:58

Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice

mowilem, ze p2p jest ograniczone w 100% przez ipp2p w polaczeniu z layer7

niestety serwer mi sie zaczal chrzanic i nic dzisiaj nie testowalem :/

Na górę

ernidok

Tytuł:

: piątek, 22 września 2006, 08:02

Użytkownik

Rejestracja: sobota, 17 stycznia 2004, 22:15
Posty: 129

jak edytuje wpisy ograniczające połączenia to restaruje serwer. czyli powinni mieć pozrywane połączenia i próbować nawiązać od nowa.
nie wiem o co u mnie biega. u niektórych to nawet jak zliczam połączenia netstat-nat'em to mi nie liczy wszystkich "wc -l", a jak wylistuje to je widze, są na portach powyżej 50000.

Na górę

ernidok

Tytuł:

: czwartek, 28 września 2006, 11:20

Użytkownik

Rejestracja: sobota, 17 stycznia 2004, 22:15
Posty: 129

po clear_conns_all wyświetla mi komuniakt
./clr_conns_all: line 4: clr_conns: command not found
nic nie zmieniałem w tym skrypcie.
powiedzcie mi jak to zmienić.

Na górę

erni

Tytuł:

: czwartek, 28 września 2006, 12:07

Użytkownik

Rejestracja: czwartek, 20 kwietnia 2006, 19:02
Posty: 101
Lokalizacja: Wadowice

czy, aby na pewno te pliki:
http://air-net.eu/nnd/clr_conns/clr_conns
http://air-net.eu/nnd/clr_conns/clr_conns_all
masz w /usr/sbin ?

Na górę

ernidok

Tytuł:

: niedziela, 1 października 2006, 17:17

Użytkownik

Rejestracja: sobota, 17 stycznia 2004, 22:15
Posty: 129

dokładnie takie. plik /etc/hosts oczywiście jest

Na górę

Strona 2 z 3

[ Posty: 42 ]

Przejdź na stronę Poprzednia 1, 2, 3 Następna

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 17 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników