Ostatnio moja sieć nie daje mi poświętować i cały czas przysparza problemów. Najwiekszy obecnie problem to BARDZO długie pingi...zwłaszcza wieczorami. Mam pełną izolację klientów na wszystkich AP i kazdy AP podłączony do osobnego interfejsu. Podejrzewam pakiety UDP. Moja konfiguracja to niceshaper+pppoe. Poczytałem troche forum i zastosowałem sobie takie regułki:
Cytuj:
for IP_LIMIT in `cat /etc/limity/host_limit | cut -d " " -f1`;do
iptables -t filter -I FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 100 -j DROP
iptables -t filter -I FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 30 -m ipp2p --ipp2p -j DROP
iptables -t filter -I FORWARD -d $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT
iptables -t filter -I FORWARD -s $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT
iptables -t filter -I FORWARD -d $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT
iptables -t filter -I FORWARD -s $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT
echo "komp $IP_LIMIT zlimitowany"
done
for IP_LIM in `cat /etc/limity/host_limit | cut -d " " -f1`;do
iptables -A FORWARD -s $IP_LIM -m conntrack --ctproto udp --ctstate NEW -m limit --limit 6/h --limit-burst 25 -j ACCEPT
iptables -A FORWARD -s $IP_LIM -m conntrack --ctproto udp --ctstate RELATED,ESTABLISHED -m limit --limit 6/s -m length --length 300:1500 -j ACCEPT
iptables -A FORWARD -s $IP_LIM -p udp -j DROP
echo "komp $IP_LIM limit"
done
iptables -t filter -I FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 100 -j DROP
iptables -t filter -I FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 30 -m ipp2p --ipp2p -j DROP
iptables -t filter -I FORWARD -d $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT
iptables -t filter -I FORWARD -s $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT
iptables -t filter -I FORWARD -d $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT
iptables -t filter -I FORWARD -s $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT
echo "komp $IP_LIMIT zlimitowany"
done
for IP_LIM in `cat /etc/limity/host_limit | cut -d " " -f1`;do
iptables -A FORWARD -s $IP_LIM -m conntrack --ctproto udp --ctstate NEW -m limit --limit 6/h --limit-burst 25 -j ACCEPT
iptables -A FORWARD -s $IP_LIM -m conntrack --ctproto udp --ctstate RELATED,ESTABLISHED -m limit --limit 6/s -m length --length 300:1500 -j ACCEPT
iptables -A FORWARD -s $IP_LIM -p udp -j DROP
echo "komp $IP_LIM limit"
done
Jednak problem pojawia sie dalej
Nie jestem pewny czy to właściwie działa, ponieważ jak obserwuje iptrafem to mam długości pakietów UDP takie jak niżej :
Cytuj:
UDP (46 bytes) from 190.31.63.10:28119 to 192.168.3.17:44798 on ppp44 │
│ UDP (236 bytes) from 192.168.3.17:44798 to 38.107.162.117:5327 on ppp44 │
│ UDP (62 bytes) from 192.168.3.17:44798 to 71.68.17.232:45937 on ppp44 │
│ UDP (46 bytes) from 38.107.162.117:5327 to 192.168.3.17:44798 on ppp44 │
│ UDP (46 bytes) from 201.95.88.5:10009 to 192.168.3.17:44798 on ppp44
│ UDP (236 bytes) from 192.168.3.17:44798 to 38.107.162.117:5327 on ppp44 │
│ UDP (62 bytes) from 192.168.3.17:44798 to 71.68.17.232:45937 on ppp44 │
│ UDP (46 bytes) from 38.107.162.117:5327 to 192.168.3.17:44798 on ppp44 │
│ UDP (46 bytes) from 201.95.88.5:10009 to 192.168.3.17:44798 on ppp44
A wg mnie ta regułka
Cytuj:
iptables -A FORWARD -s $IP_LIM -m conntrack --ctproto udp --ctstate RELATED,ESTABLISHED -m limit --limit 6/s -m length --length 300:1500 -j ACCEPT
Powinna takie długości odrzucać.....
Co robie nie tak??
