| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Skuteczny sposób na ograniczenie ilości połączeń http://forum.freesco.pl/viewtopic.php?f=22&t=14491 |
Strona 1 z 2 |
| Autor: | Albercik [ piątek, 5 stycznia 2007, 21:14 ] |
| Tytuł: | Skuteczny sposób na ograniczenie ilości połączeń |
Jak w temacie: zna ktoś skuteczny sposób na ograniczenie ilości połączeń? Zabawa w limitowanie regułkami iptables w ogóle nie skutkuje. Zastanawiam się jak ograniczyć czas trzymania połączeń tcp oczekujących . Połaczeń udp oczywiście nie da się limitować z wiadomych powodów, można tylko limitować ilość połączeń na sekundę/minutę/godzinę . |
|
| Autor: | luki_nowy [ piątek, 5 stycznia 2007, 21:35 ] |
| Tytuł: | |
dołacze sie do tematu przydalo by sie skuteczne ograniczanie ilosci polaczen |
|
| Autor: | Albercik [ piątek, 5 stycznia 2007, 22:59 ] |
| Tytuł: | |
W sumie to jest skuteczny sposób, nawet bardzo skuteczny : skrypt sprawdza ilość połączeń i jeżeli przekroczy zadaną liczbę przekierowuje delikwenta na stronę info , na której widnieje komunikat typu "masz zbyt wiele otwartych połączeń. Masz trojana lub zbyt dużo połączeń w programie p2p" lub coś w tym stylu. Tak być oczywiście nie powinno, bo wiadomo - user może ze swoim pasmem robić co chce, ale to już chyba niemoc administratora  .
|
|
| Autor: | czuczu [ piątek, 5 stycznia 2007, 23:50 ] |
| Tytuł: | |
Albercik pisze: "masz zbyt wiele otwartych połączeń. Masz trojana lub zbyt dużo połączeń w programie p2p"
to by było dobre wiesz jak to robic? bo jak sie ustali polaczenia za pomocna iptables to troche ogranicza ale na pewn nie do tej ilosci jaka przypisalismy pozdrawiam |
|
| Autor: | Albercik [ sobota, 6 stycznia 2007, 00:26 ] |
| Tytuł: | |
czuczu pisze: Albercik pisze: "masz zbyt wiele otwartych połączeń. Masz trojana lub zbyt dużo połączeń w programie p2p" to by było dobre wiesz jak to robic? bo jak sie ustali polaczenia za pomocna iptables to troche ogranicza ale na pewn nie do tej ilosci jaka przypisalismy pozdrawiam Już coś podobnego ostatnio zapodałem na forum, wystarczy dopisać tylko jedną linię : #!/bin/bash hosty=`cat /etc/cron.10min/ip` for x in $hosty ; do il_pol=`cat /proc/net/ip_conntrack | grep -w "$x" | wc -l` if [ $il_pol -gt 100 ] then echo "" >> /var/log/del_polaczenia.log date >> /var/log/del_polaczenia.log date >> /var/log/del_pol_ilosc.log echo "$x $il_pol" >> /var/log/del_pol_ilosc.log /usr/sbin/clr_conns $x >> /var/log/del_polaczenia.log /sbin/iptables -t nat -A PREROUTING -p tcp -s $x -j REDIRECT --to-port 84 #port na którym jest jakiś komunikat fi done trzeba tylko w skrypcie jeszcze umieścić jakieś czasowe, np po 1 min usunięcie strony i odblokowanie netu, albo jak w tablicy ogłoszeń dac przycisk do odblokowania. Trzeba to porządnie przemyśleć , bo to tak na prędce jest napisane. |
|
| Autor: | Luc3k [ sobota, 6 stycznia 2007, 10:01 ] |
| Tytuł: | |
Ja to załatwiam takim sposobem: iptables -I FORWARD -p tcp -s 192.168.14.34 -m ipp2p --ipp2p -m connlimit --connlimit-above 60 -j DROP Liczba połączeń oczywiście nie utrzymuje się przy 60, ale oscyluje w tej granicy. |
|
| Autor: | Albercik [ sobota, 6 stycznia 2007, 12:08 ] |
| Tytuł: | |
Luc3k pisze: Ja to załatwiam takim sposobem:
iptables -I FORWARD -p tcp -s 192.168.14.34 -m ipp2p --ipp2p -m connlimit --connlimit-above 60 -j DROP Liczba połączeń oczywiście nie utrzymuje się przy 60, ale oscyluje w tej granicy. U mnie jakoś to nie funkcjonuje, u wielu innych niestety też nie. |
|
| Autor: | -MW- [ sobota, 6 stycznia 2007, 15:50 ] |
| Tytuł: | |
mowa o wszystkich polaczeniach czy o wylapanych przez ipp2p ? |
|
| Autor: | gg123456 [ sobota, 6 stycznia 2007, 16:32 ] |
| Tytuł: | |
U mnie regułki pod iptables działają i ograniczają. Nie używam squida, ani IMQ. Tylko niceshaper. iptables -t mangle -I FORWARD -s $IP -p tcp -m connlimit --connlimit-above $limit -j DROP |
|
| Autor: | puchatek007 [ sobota, 6 stycznia 2007, 19:59 ] |
| Tytuł: | |
U mnie taka regułka dla każdego usera: iptables -t filter -I FORWARD -s $ip -p tcp -m connlimit --connlimit-above 300 --connlimit-mask 32 -m ipp2p --ipp2p -j DROP I również działa bardzo dobrze. |
|
| Autor: | -MW- [ sobota, 6 stycznia 2007, 21:22 ] |
| Tytuł: | |
U mnie taka regułka dla każdego usera: iptables -t filter -I FORWARD -s $ip -p tcp -m connlimit --connlimit-above 300 --connlimit-mask 32 -m ipp2p --ipp2p -j DROP po co az tyle tego ? |
|
| Autor: | puchatek007 [ sobota, 6 stycznia 2007, 21:49 ] |
| Tytuł: | |
Nie wiem, ważne że działa
--connlimit-mask 32 nie wiem do czego to i czy wogóle jest potrzebne. |
|
| Autor: | Luc3k [ sobota, 6 stycznia 2007, 22:22 ] |
| Tytuł: | |
-MW- pisze: mowa o wszystkich polaczeniach czy o wylapanych przez ipp2p ?
Tylko przez ipp2p. Dlaczego tak? Ponieważ przy zwykłym conlimicie p2p'y szybko wysycają cały limit i w tym momencie przeglądanie stron www staje się koszmarem. A tak to limit dla p2p jest w miarę restrykcyjnie pilnowany i zostaje dowolna ilość połączeń dla www i reszty usług. |
|
| Autor: | -MW- [ sobota, 6 stycznia 2007, 22:59 ] |
| Tytuł: | |
po co one sa to ja wiem
lecz dlaczego osobno dla kazdego ip? |
|
| Autor: | Luc3k [ niedziela, 7 stycznia 2007, 14:15 ] |
| Tytuł: | |
Ja ustawiam limity dopiero kiedy dany osobnik zaczyna przekraczać dozwolone normy. |
|
| Autor: | puchatek007 [ niedziela, 7 stycznia 2007, 14:29 ] |
| Tytuł: | |
-MW- pisze: ...lecz dlaczego osobno dla kazdego ip?
No a jak, jeden na całą sieć?? Przy tych regułach każdy może mieć max 250 połączeń co i tak rzadko się zdarza. Ustaw taki limit na całą sieć. To programy p2p będą ledwo chodzić, a przecierz nie o to tu chodzi. A znowu dać duży limit, to wtedy jeden user może go całego zużyć. Też do kitu. Dlatego limity mam z osobna na każdy IP. Dobrze myśle czy nie?? Jak nie to poprawcie .
|
|
| Autor: | Luc3k [ niedziela, 7 stycznia 2007, 15:00 ] |
| Tytuł: | |
puchatek007 pisze: A znowu dać duży limit, to wtedy jeden user może go całego zużyć. Też do kitu.
Tutaj nie do końca się zgodzę odnośnie regułki, którą podałem. Owszem, limit nadany zostanie wyczerpany, to fakt, ale tylko dla p2p. W tym przypadku korzystanie z reszty usług (www itp) nie stwarza problemów. Jeśli ustawisz limit opierając się jedynie na "czystym" conlimicie na wszystkie usługi to p2p wyssie Ci wszystko i stronę będziesz otwierał ze 2 min. |
|
| Autor: | puchatek007 [ niedziela, 7 stycznia 2007, 15:07 ] |
| Tytuł: | |
No przecierz podana przeze mnie regułka dotyczy tylko p2p .
Ale na wszelki wypadek gdyby jakiś program się nie załapał w nią to mam jezcze jedną, z ciut więlkszym limitem na wszystko dla usera. |
|
| Autor: | Luc3k [ niedziela, 7 stycznia 2007, 15:10 ] |
| Tytuł: | |
Ah tak, przepraszam, moja zła interpretacja - cały czas mam na myśli swoją. |
|
| Autor: | -MW- [ niedziela, 7 stycznia 2007, 15:58 ] |
| Tytuł: | |
proponuje poczytac ja ta regulka dziala. a above 300 to lekka przesada |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|