Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Ograniczenie polaczen
http://forum.freesco.pl/viewtopic.php?f=22&t=11991		 Strona 1 z 2
Autor:  insiderz [ środa, 5 kwietnia 2006, 15:27 ]
Tytuł:  Ograniczenie polaczen
Jak ograniczyc ruch wychodzacy tak aby kazdy uzytkownik w sieci mial maksymalnie 20 polaczen (niewiem czy to sie tyczy tylko polaczen aktywnych) wychodzacych czy to trzeba zrobic na TCP i UDP czy tylko TCP ?? Czy to ograniczy mnozenie sie ruchu p2p. dla scislosci mam zainstalowanego niceshapera. Znalazlem kilka tematow np. w tym http://www.wiki.nnd.freesco.pl/index.ph ... izacja_NND ale nie wiem gdzie ta bałwan jestem jest wpisywana na stale. Prosze o pomoc.
Autor:  -MW- [ środa, 5 kwietnia 2006, 17:26 ]
Tytuł: 
iptables -I FORWARD -s 192.168.0.3 -p tcp -m connlimit --connlimit-above 55 -j DROP

od klienta do netu
Autor:  insiderz [ środa, 5 kwietnia 2006, 21:08 ]
Tytuł:  Pytanie
A mam jeszcze takie pytanie czy to polecenie iptables -I FORWARD -s 192.168.0.3 -p tcp -m connlimit --connlimit-above 55 -j DROP mam wpisac jako root czy mam go dopisac w firewallu. A jak to wpisze jako root to gdzie to bedzie dodane, (iptables) i czy po restarcie systemu musze to pisac jeszcze raz. Prosze o pomoc
Autor:  Mr Groch [ środa, 5 kwietnia 2006, 21:53 ]
Tytuł:  Re: Pytanie
insiderz pisze:
A mam jeszcze takie pytanie czy to polecenie iptables -I FORWARD -s 192.168.0.3 -p tcp -m connlimit --connlimit-above 55 -j DROP mam wpisac jako root

Tak
insiderz pisze:
A jak to wpisze jako root to gdzie to bedzie dodane, (iptables) i czy po restarcie systemu musze to pisac jeszcze raz. Prosze o pomoc

Bedzie dodane do regulek iptables, nie zostanie zapisane do pliku.
Czyli po restarcie chocby iptables, wpis te zniknie

Polecam napisac skrypt uruchomieniowy lub dopisac do pliku regulek:
: [/] [] ()
-A FORWARD -s 192.168.0.3 -p tcp -m connlimit --connlimit-above 55 -j DROP
GeSHi © Codebox Plus

(do lancucha :OUTPUT ACCEPT w sekcji *filter)
Autor:  tasiorek [ środa, 5 kwietnia 2006, 22:48 ]
Tytuł:  Re: Pytanie
Mr Groch pisze:
Polecam napisac skrypt uruchomieniowy lub dopisac do pliku regulek:

Polecam nie stosowac tej rady. Po pierwsze pliku iptables.rules nie powinno byc, jesli uzywa sie standardowego firewalla, a po drugie nawet jesli istnieje, to tworzy sie go poprzez iptables-save, a nie edytuje recznie.
Dopisz regule do /etc/iptables/firewall
Autor:  insiderz [ środa, 12 kwietnia 2006, 19:02 ]
Tytuł:  Pytanie
A w jaki sposob moge sprawdzic czy to ograniczenie dziala.
Autor:  -MW- [ środa, 12 kwietnia 2006, 19:20 ]
Tytuł: 
gdybys mial ograniczenia ustawione indywidualnie to listujac lancuch z bałwan jestem zobaczylbys ile pakietow jest odzuconych, a tym samym dowiedzialbys sie ze dziala :)
Autor:  jahu [ piątek, 5 maja 2006, 18:32 ]
Tytuł: 
Lameriady ciag dalszy - powracam z glupimi pytaniami:
firewall zciecha -ta linijke:
-A FORWARD -s 192.168.0.3 -p tcp -m connlimit --connlimit-above 55 -j DROP
nalezy powielic dla kazdego wewnetrzenego ip ktory ma byc przciety co do ilosci polaczen czyli 192.168.0.3 kolejna linijka 192.168.0.4 itd?
a no i na poczatku standardowo $i - jak co prosze o sprostowanie i czy da sie ograniczyc takei klepanie linijek - cos w stylu petli jakies?
Autor:  -MW- [ piątek, 5 maja 2006, 21:11 ]
Tytuł: 
tak

$i -I FORWARD -s 192.168.0.3 -p tcp -m connlimit --connlimit-above 55 -j DROP
$i -I FORWARD -s 192.168.0.4 -p tcp -m connlimit --connlimit-above 55 -j DROP
$i -I FORWARD -s 192.168.0.5 -p tcp -m connlimit --connlimit-above 55 -j DROP

da sie ograniczyc klepanie, pytanie czy musisz tak klepac duzo?

szybciej bedzie kopiowac i zmieniac ip dla np. 10 uzytkownikow :)
niz czytac o petlach.
Autor:  -MW- [ piątek, 5 maja 2006, 21:14 ]
Tytuł: 
jesli masz zrobione przekierowania partow dla p2p to daj rowniez temu ip

$i -I FORWARD -d 192.168.0.3 -p tcp -m connlimit --connlimit-above 55 -j DROP
Autor:  tasiorek [ sobota, 6 maja 2006, 02:34 ]
Tytuł: 
MW, kombinujesz jak kon pod gorke.
: [/] [] ()
IP=2
while [ $IP -le 20 ]; do
$i -I FORWARD -s 192.168.0.$IP -p tcp -m connlimit --connlimit-above 55 -j DROP
IP=$[IP + 1]
done
GeSHi © Codebox Plus

IP od 192.168.0.2 do 192.168.0.20 dostana blokade. Zmien sobie wartosci odpowiednio dla swojej sieci.
Autor:  MAC!EK [ sobota, 6 maja 2006, 12:20 ]
Tytuł: 
też zakombinowałeś :P
: [/] [] ()
for IP in `seq 2 20`; do
$i -I FORWARD -s 192.168.0.$IP -p tcp -m connlimit --connlimit-above 55 -j DROP
done
GeSHi © Codebox Plus
Autor:  jahu [ niedziela, 4 czerwca 2006, 14:52 ]
Tytuł: 
Wlaze do watka, patrze na avatar Macka: powalil, az strach sie pytac bo rachunek wystawi 8) ale do rzeczy:

Chodzi o regulki aby ograniczyc ilosc polaczen ale tego co przekierowane jest na konkretny port danego wew ip - konkretnie chodzi zeby gosc mial za natem azerusa ale zeby mi nagle calego lacza nie zatkal 3 tys polaczen
Wyczytalem ze forward realizuje sie tak:

$i -I FORWARD -p tcp -d 10.0.1.2 --dport 6881 -j ACCEPT
$i -t nat -A PREROUTING -p tcp -i eth0 -s 0/0 -d 0/0 --dport 6881 -j DNAT --to 10.0.1.2
$i -I FORWARD -p udp -d 10.0.1.2 --dport 6881 -j ACCEPT
$i -t nat -A PREROUTING -p udp -i eth0 -s 0/0 -d 0/0 --dport 6881 -j DNAT --to 10.0.1.2

A jezeli teraz jeszcze ograniczyc ilosc polaczen forwardowanych na ten port to jak powinny wygladac reguly? Dokleic cos takiego do linijek z Forward:
-m connlimit --connlimit-above 100 -j DROP :?:
Autor:  cycu [ niedziela, 4 czerwca 2006, 15:29 ]
Tytuł: 
Ja mam jeszcze pytanie nie do końca techniczne, ale odwołujace się do doświadczenia stosujących connlimit, a mianowicie jaką dać wartość,żeby była rozsądnym kompromisem pomiędzy ograniczeniem usera a funkcjonalnością p2p . Co dla p2p oznacza magiczna wartość 50 (czy jest to drastyczne ograniczenie) ? Np jeśli mamy sytuacje taką,że user ma łącze 512/128 i 100%pasma zjada np. azureus i jeśli zapodam mu connlimit 50 to w jaki sposób to odczuje user (czy mu mocno transfery spadną? ) ?.
Autor:  Orzel [ sobota, 14 października 2006, 13:20 ]
Tytuł: 
Transfery nie spadną - ten wątek mówi o ilości połaczeń a nie o prędkości
Autor:  marask [ sobota, 14 października 2006, 14:57 ]
Tytuł: 
Cytuj:
hej! spojrzalem na ten wzmak i jest calkiem spoko, ale lepiej byloby jakbys kupil calego suba za te 440zl. Ladnie wykonany i na wiekszym glosniku :) wg mnie lepiej by gral. Wiec wybor nalezy do Ciebie. Pozdr.


zależy od trackera :) jak masz dobrą stronkę, z której ssasz torrenty (np) to nawet przy 5połączeniach możesz mieć maks łącza... gorzej na emule gdzie musisz mieć dziesiątki polączeń żeby jako-tako ściągało.
Autor:  przemek_nnd [ sobota, 14 października 2006, 20:14 ]
Tytuł: 
http://www.infobia.pl/poloczenia
to skrypcik, który sprawdza ilość połączeń
Jeszcze go nie dopracowałem ale mozna sie pobawić :D
Autor:  -MW- [ sobota, 14 października 2006, 22:04 ]
Tytuł: 
jak sie uruchomi raz na godzine to procesora nie zezre :)
Autor:  tassman [ poniedziałek, 16 października 2006, 12:33 ]
Tytuł: 
moze cos prostszego i szybkiego zaprezentuje do liczenia ilosci polaczen


#!/bin/bash
cat /proc/net/ip_conntrack |grep EST | sed -n 's%.* src=\(192.168.[0-9.]*\).*%\1%p'| sort | uniq -c
Autor:  -MW- [ piątek, 3 sierpnia 2007, 02:38 ]
Tytuł: 
Cytuj:
MW, kombinujesz jak kon pod gorke.
Kod:
IP=2
while [ $IP -le 20 ]; do
$i -I FORWARD -s 192.168.0.$IP -p tcp -m connlimit --connlimit-above 55 -j DROP
IP=$[IP + 1]
done


lepiej wytlumacz od razu pod postem co znaczy kazdy znak i jaki jest zamysl petli, a tlumaczenie osobno kazdemu na GG jest meczace :)


ktos kto cokolwiek rozumie na podstawie trzech linijek przykladu ulozy sobie zadawalajaca pentelke wedlug sojego stanu wiedzy :)

Cytuj:
$i -I FORWARD -s 192.168.0.3 -p tcp -m connlimit --connlimit-above 55 -j DROP
$i -I FORWARD -s 192.168.0.4 -p tcp -m connlimit --connlimit-above 55 -j DROP
$i -I FORWARD -s 192.168.0.5 -p tcp -m connlimit --connlimit-above 55 -j DROP
Strona 1 z 2 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/