za pomocą iptables
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Limit połączeń http://forum.freesco.pl/viewtopic.php?f=22&t=12810 |
Strona 1 z 3 |
| Autor: | Ulter [ wtorek, 20 czerwca 2006, 20:21 ] |
| Tytuł: | Limit połączeń |
Jak wprowadzić limit połączeń dla komputerów w sieci? |
|
| Autor: | Jacq [ wtorek, 20 czerwca 2006, 21:18 ] |
| Tytuł: | |
za pomocą iptables
|
|
| Autor: | -MW- [ wtorek, 20 czerwca 2006, 21:27 ] |
| Tytuł: | |
iptables -I FORWARD -p tcp -m connlimit --connlimit-above 55 -j DROP podobno rozroznia pochodzenie pakietow. |
|
| Autor: | Ulter [ środa, 21 czerwca 2006, 00:15 ] |
| Tytuł: | |
-MW- pisze: iptables -I FORWARD -p tcp -m connlimit --connlimit-above 55 -j DROP
podobno rozroznia pochodzenie pakietow. podobno? |
|
| Autor: | -MW- [ środa, 21 czerwca 2006, 00:35 ] |
| Tytuł: | |
nigdy nie sprawdzalem, ja robie indywidualnie poniewaz roznie przydzielam limity. iptables -I FORWARD -p tcp -s IP -m connlimit --connlimit-above 55 -j DROP |
|
| Autor: | takise [ środa, 21 czerwca 2006, 23:01 ] |
| Tytuł: | |
MW JAk wygląda ta furmułka dla jednego goscia ? Też chciałbym przuydzielić każdemu inaczej 
|
|
| Autor: | adamol [ czwartek, 22 czerwca 2006, 00:55 ] |
| Tytuł: | |
tak jak napisał powyżej w miejsce IP wstawiasz IP 
Poczytaj na forum jest o tym duuuży temat: http://forum.freesco.pl/viewtopic.php?t=5283&highlight= |
|
| Autor: | erni [ niedziela, 27 sierpnia 2006, 11:39 ] |
| Tytuł: | |
Po raz kolejny odswiezam stary temat. Nie chce zakladac nowego, wiec pisze tutaj. Wtedy gdy mam zalaczone p2p i limit 55, to limit ten dotyczy najwyrazniej polaczen z flaga ESTABLISHED, gosc ma setki polaczen TIME_WAIT oraz ASSURED. Teraz nie wiem, czy te polaczenia sa w stanie blokowac ruch na AP, czy licza sie tylko te nawiazane. Jak to zwalczyc? |
|
| Autor: | ernidok [ czwartek, 7 września 2006, 08:45 ] |
| Tytuł: | |
Witam, czy wam działa to ograniczenie połączeń? ja mam bałwan jestem dla każdego osobną i jak mieli niektórzy ponad 1000 połączeń tak mają. a mam to wpisane w /etc/iptables/firewall po tych wszystkich if fi echo itp. i przed moze ma znaczenie gdzie to ma byc i dlatego mi nie działa. pozdrawiam |
|
| Autor: | viater [ czwartek, 7 września 2006, 10:59 ] |
| Tytuł: | |
erni pisze: Po raz kolejny odswiezam stary temat. Nie chce zakladac nowego, wiec pisze tutaj.
Wtedy gdy mam zalaczone p2p i limit 55, to limit ten dotyczy najwyrazniej polaczen z flaga ESTABLISHED, gosc ma setki polaczen TIME_WAIT oraz ASSURED. Teraz nie wiem, czy te polaczenia sa w stanie blokowac ruch na AP, czy licza sie tylko te nawiazane. Jak to zwalczyc? ASSURED dotyczy protokołu UDP i tego nie zlimitujesz. Powyższe regułki działają tylko na TCP. |
|
| Autor: | tasiorek [ czwartek, 7 września 2006, 11:04 ] |
| Tytuł: | |
viater pisze: ASSURED dotyczy protokołu UDP i tego nie zlimitujesz.
http://forum.freesco.pl/viewtopic.php?t=11192 |
|
| Autor: | -MW- [ czwartek, 7 września 2006, 12:36 ] |
| Tytuł: | |
Cytuj: Witam, czy wam działa to ograniczenie połączeń? ja mam ort.kę dla każdego osobną Kod: $i -I FORWARD -s IP#1 tcp -m connlimit --connlimit-above 20 -j DROP i jak mieli niektórzy ponad 1000 połączeń tak mają. czegos tam brakuje. Cytuj: $i -I FORWARD -s IP#1 -p tcp -m connlimit --connlimit-above 20 -j DROP
|
|
| Autor: | ernidok [ czwartek, 7 września 2006, 14:02 ] |
| Tytuł: | |
-MW- pisze: czegos tam brakuje. Cytuj: $i -I FORWARD -s IP#1 -p tcp -m connlimit --connlimit-above 20 -j DROP mniejsza o -p, jest u mnie tylko nie przepisałem. co wy na to że np. u mnie nie działa ograniczenie ilości połączeń. już męcze to dłuższy czas i mi sie nie udaje. |
|
| Autor: | przemek_nnd [ czwartek, 7 września 2006, 19:21 ] |
| Tytuł: | |
moglibyście sprawdzić mój przerobiony skrypcik do sprawdzania ilości połączeń? www.infobia.pl/poloczenia jak macie uwagi to zapodajcie.... a.. zapomniałem ja używam takich regułek $IPTABLES -A FORWARD -p tcp --syn -s $IP -m connlimit --connlimit-above $MAX_CONN -j REJECT $IPTABLES -A FORWARD -p tcp --syn -d $IP -m connlimit --connlimit-above $MAX_CONN -j REJECT może lepiej by dać -j DROP |
|
| Autor: | erni [ czwartek, 7 września 2006, 19:39 ] |
| Tytuł: | |
noo :] w koncu ktos cos konkretnego podal
o ile dobrze to zlicza polaczania, to dzieki wielkie za taki skrypcik na poczatku cos fiksuje w tych polaczeniach, tzn wyswietla hosty bez ilosci, a pozniej je powtarza juz dobrze. [root@erni erni]# ./poloczenia erni ilość procesów: 36 ilość połączeń ESTABLISHED: Piotrek_Klaja Anka_Rąpel Janusz_Nocula Staszek_Swiergula Krzysiek_Napora: 0 ilość połączeń ESTABLISHED: Michał_Jarosz: 2 ilość połączeń ESTABLISHED: Krzysiek_Jacoszek: 1 ilość połączeń ESTABLISHED: Ernest_Bobik: 2 ilość połączeń ESTABLISHED: Staszek_Wider: 2 ilość połączeń ESTABLISHED: Andrzej_Furlaga: 0 ilość połączeń ESTABLISHED: Piotrek_Klaja: 3 ilość połączeń ESTABLISHED: Anka_Rąpel: 0 ilość połączeń ESTABLISHED: Janusz_Nocula: 5 ilość połączeń ESTABLISHED: Staszek_Swiergula: 2 ilość połączeń ESTABLISHED: Krzysiek_Napora: 0 ilość połączeń ESTABLISHED: Anka_Dziwak: 0 ilość połączeń ESTABLISHED: Karol_Rąpel: 0 ilość połączeń ESTABLISHED: Franciszek_Wojtowicz: 0 ilość połączeń ESTABLISHED: Krzysiek_Folusz: 0 ilość połączeń ESTABLISHED: Zoska_Napora: 2 ilość połączeń ESTABLISHED: Piotrek_Brania: 0 ilość połączeń ESTABLISHED: Maciek_Wiecheć: 0 ogółem w tablicy ip_conntrack połączeń: 92 Procesy, które nie śpią: 1 Użycie swap 0 Wolny swap 32756 ilość hostów aktywnych: 9 Maksymalna ilość hostów: 18 System pracuje już: 55 min |
|
| Autor: | -MW- [ czwartek, 7 września 2006, 23:12 ] |
| Tytuł: | |
i tak cie oszukuje
Cytuj: netstat-nat -n | cat -b
|
|
| Autor: | ernidok [ wtorek, 12 września 2006, 08:01 ] |
| Tytuł: | |
przemek_nnd pisze: a.. zapomniałem ja używam takich regułek
$IPTABLES -A FORWARD -p tcp --syn -s $IP -m connlimit --connlimit-above $MAX_CONN -j REJECT $IPTABLES -A FORWARD -p tcp --syn -d $IP -m connlimit --connlimit-above $MAX_CONN -j REJECT może lepiej by dać -j DROP przemku_nnd u ciebie ta bałwan jestem ogranicza połączenia?? |
|
| Autor: | sert [ wtorek, 12 września 2006, 09:27 ] |
| Tytuł: | |
ernidok pisze: -MW- pisze: czegos tam brakuje. Cytuj: $i -I FORWARD -s IP#1 -p tcp -m connlimit --connlimit-above 20 -j DROP mniejsza o -p, jest u mnie tylko nie przepisałem. co wy na to że np. u mnie nie działa ograniczenie ilości połączeń. już męcze to dłuższy czas i mi sie nie udaje. a sprawdzales jakie masz czasy w tablicy ip_conntrack??? |
|
| Autor: | ernidok [ środa, 13 września 2006, 07:58 ] |
| Tytuł: | |
sert pisze: a sprawdzales jakie masz czasy w tablicy ip_conntrack??? jeżeli chodzi ci o wpisy echo wartość w firewallu to mam porobione. o to początek mojego pliku. #!/bin/sh # firewall 0.1-2004.11.08 Zciech # # W podstawowej wersji caly ruch z inerfejsow wewnetrznych jest dopuszczony i maskowany # ruch z internetu zabroniony poza pakietami "powracajacymi" juz nawiazanych polaczen # i polaczen na strone www (port 80 tcp) oraz pingi 1/s # Wywolanie z parametrem stop otwiera wszystko i wlacza maskarade . /etc/rc.conf i=`which iptables` # Zmienne pobierane z rc.conf # EXTIF="ppp0" # Interfejs do inetu # CONNECTION="neorj" # Rodzaj polaczenia # NETWORK=1 # Wlaczenie maskarady case $1 in start) # Ladujemy moduly for module in ip_tables ip_nat_ftp ip_nat_irc iptable_nat ip_conntrack ip_conntrack_ftp ip_conntrack_irc; do /sbin/modprobe $module done if [ -e /proc/sys/net/ipv4/tcp_ecn ];then echo 0 > /proc/sys/net/ipv4/tcp_ecn fi echo 1 > /proc/sys/net/ipv4/ip_forward echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout echo 760 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait echo 800 > /proc/sys/net/ipv4/tcp_keepalive_time if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then echo 1 > /proc/sys/net/ipv4/tcp_syncookies fi for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f done $i -I FORWARD -s 0.0.0.0 -p tcp -m connlimit --conlimit-above 20 -j DROP $i -I FORWARD -s 0.0.0.1 -p tcp -m connlimit --conlimit-above 20 -j DROP $i -I FORWARD -s 0.0.0.2 -p tcp -m connlimit --conlimit-above 20 -j DROP $i -I FORWARD -s 0.0.0.3 -p tcp -m connlimit --conlimit-above 20 -j DROP $i -I FORWARD -s 0.0.0.4 -p tcp -m connlimit --conlimit-above 20 -j DROP $i -I FORWARD -s 0.0.0.6 -p tcp -m connlimit --conlimit-above 20 -j DROP $i -I FORWARD -s 0.0.0.8 -p tcp -m connlimit --conlimit-above 20 -j DROP $i -I FORWARD -s 0.0.0.9 -p tcp -m connlimit --conlimit-above 20 -j DROP $i -F $i -F -t nat $i -P INPUT DROP $i -P FORWARD DROP $i -P OUTPUT ACCEPT ... |
|
| Autor: | przemek_nnd [ środa, 13 września 2006, 20:50 ] |
| Tytuł: | |
ernidok pisze: przemek_nnd pisze: a.. zapomniałem ja używam takich regułek $IPTABLES -A FORWARD -p tcp --syn -s $IP -m connlimit --connlimit-above $MAX_CONN -j REJECT $IPTABLES -A FORWARD -p tcp --syn -d $IP -m connlimit --connlimit-above $MAX_CONN -j REJECT może lepiej by dać -j DROP przemku_nnd u ciebie ta ort.a ogranicza połączenia?? ściągnąłem to chyba ze skryptów inet.one.pl i tak naprawdę nie mam problemów z połączeniami ESTABLISHED - zawsze poniżej limitu dla danego ipeka |
|
| Strona 1 z 3 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|