Freesco, NND, CDN, EOS :: Wyświetl temat - jak usnąć wszystkie z możliwych połączeń wychodzących

Freesco, NND, CDN, EOS http://forum.freesco.pl/

jak usnąć wszystkie z możliwych połączeń wychodzących http://forum.freesco.pl/viewtopic.php?f=22&t=12482	Strona 1 z 1

Autor:	Sadek [ piątek, 19 maja 2006, 23:39 ]
Tytuł:	jak usnąć wszystkie z możliwych połączeń wychodzących
jak usnąć wszystkie z możliwych połączeń wychodzących do ip 69.31.45.82 zablokować i żeby nie było nie zezwolić na dalsze ich nawiązywanie, dodam że na porcie 80 koles ma wirusa i generuje 2880 połaczeń.... skurczybyka utopię... ale najpierw chciałbym poznac regułke ... help !!!!

Autor:	czerwo [ sobota, 20 maja 2006, 09:06 ]
Tytuł:
iptables -I INPUT -s $IP -p tcp -j DROP iptables -I FORWARD -s $IP -p tcp -j DROP iptables -I INPUT -d $IP -p tcp -j DROP iptables -I FORWARD -d $IP -p tcp -j DROP zamiast $IP daj ip

Autor:	Koriolan [ sobota, 20 maja 2006, 11:28 ]
Tytuł:
Czerwo pokazał Ci 'zablokowanie' połaczeń. Jeśli Ci chodziło o skasowanie/zamknięcie aktualnie nawiązanych połaczeń (za sekundkę na nowa się będą nawiązywać) to do tego służy skrypt clr_conns.

Autor:	tassman [ sobota, 20 maja 2006, 12:00 ]
Tytuł:
aaaaa i tu znalazlem odpowiedz na pytanie ktore zadalem w temacie wyzej o polaczeniach. kasowania polaczen nastepuje ale jak jest wlaczony p2p to on od razu nawiazuje kolejne. czyli mam rozumiem ze najpierw bałwan jestem ograniczajaca polaczenia np. iptables -I FORWARD -s 192.168.1.x -p tcp -m connlimit --connlimit-above 50 -j DROP a dopiero potem skrypt??? no to probuje

Autor:	Sadek [ sobota, 20 maja 2006, 14:35 ]
Tytuł:
dzięki wielkie a skrypt clr_conns mam i troszke go zmodyfikowałem, odpala sie co godzine i sprawdza ilość połaczen dla każdego hosta, jeżeli przekracza 60 to kasuje połaczenia dla tego hosta, fajna sprawa

Autor:	Koriolan [ poniedziałek, 22 maja 2006, 11:39 ]
Tytuł:
Sadek pisze: ...sprawdza ilość połaczen dla każdego hosta, jeżeli przekracza 60 to kasuje połaczenia dla tego hosta,... Troszkę to nie tak... Generalnie to iptables powinień zawiarać ograniczenia ilości połaczeń. I np. po restarcie pilnować ich ilości i nie dopuszczać do nadużyć. Skrypt powinien służyć okazjonalnie np. po zmianie ilości w iptables i uruchomieniu iptables z nowymia wartościami kasujemy skryptem JUŻ NAWIĄZANE połaczenia (iptables chyba nie domyka już nawiązanych, choć nie jestem 100% pewien). Uwaga: - Już było opisane przy temacie ograniczanie połączeń: p2p potrafi tak szybko nawiązywac połaczenia, że iptables nie zdąża ich zamykać. Np. p2p chce otwirać 1000 połączeń/sek a iptables ma ograniczenie 100/sek. Ustala się równowaga powiedzmy około 300. Ja skryptem il_pol lub il_polk patrzę na ilość połaczeń i jak ktoś przesadza A NIE POMAGAJĄ SMSY I UWAGI NA GG to tak mu przycinam połączenia i transfer (oczywiście uzasadniam: "Jak ma mieć internet skoro jego kaza nic nie robi tylko otwiera połaczenia. Nic nie ciągnie ani nie wysyła. Ograniczysz połączenia - będzie miał internet" ), że z przeprosinami prędziutko zmniejsza ilość połączeń Jest to "nie tak" gdyż prawie nic Ci nie daje. Jedynie sekundową ulgę raz na godzinę U mnie jak ktoś kiedyś przesadził to po kilku sekundach już miał 900 połaczeń i zapychał sie router. W logach "coś tam ... table overflow". Czyli brakowało "wolnych połączeń".

Autor:	Sadek [ poniedziałek, 22 maja 2006, 17:41 ]
Tytuł:
celem tego skryptu do kasowania połaczen nie jest kasowanie kazowiczów, bo zadbałem o to aby problem p2p u mnie się ni epojawiał, posatwiłem oddzielny serwer na którym jest postawiony serwer osiołka na którym to pliki sie spokojnie sciagaja i na który serwer pliki do sciągania dorzucają wszyscy zainteresowani mi głównie chodzi o połączenie które wisza w powietrzu bezpodstawnie, co się zdaża przy wiekeszj ilości userwów na wi-fi te połaczenia tak sie dodają do siebie wcale nie kasujac ąz w pewnym momencie moze ich być spokojnie ponad 400 co dla wifi jest mocno obciażające. faktycznie jest to chyba jedyne logiczne rozwiązanie dla takiej sieci jak moja, apropos ważne aby pamiętac że sktypty te sa zrobione pod moją sieć i w pełni jestem z nich zadowolony, nie gwarantuje sukcesu z tymi skryptami w innych sieciach,

Autor:	Koriolan [ wtorek, 23 maja 2006, 13:06 ]
Tytuł:
IMHO powinieneś jednak starać się o więcej wiedzy: 'wiszące' połaczenia nie mają nic wspólnego z siecią - wi-fi czy kablową. Są to tylko rejestracje (zapis) w jądrze/conntrack (tylko na ROUTERZE) o pakietach wedrującech ze źródła do celu. Musisz rozróżnicz prezyczynę dlaczego wiszą ? Może to ktoś ma sesję ssl i co kilka minut puka w klawiaturę !! Może ktoś przegląda leniwie stronki ? Do regulacji takich zapisów są CZASY PRZETRZYMYWANIA zapisów w jądrze/connmark. Tego właśnie dobrze jest się dowiedzieć i ustawić odpowiednio u siebie. Szukaj na forum i w internecie W starym firewallu zciecha było : : [/] [] () ....# Ustawianie odpowiednich czasów dla netfilter # Zmiana iloci pocze echo 63555 >/proc/sys/net/ipv4/ip_conntrack_max # zmiana czasu z 60 na 20: echo 20 > /proc/sys/net/ipv4/tcp_fin_timeout # Ograniczanie ilosci polaczen # zmniejsz czas trzymania info o polaczeniach #echo 1 > /proc/sys/net/ipv4/conf/eth1/rp_filter #echo 7200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established #echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter echo 7200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established .... GeSHi © Codebox Plus

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/