Freesco, NND, CDN, EOS • Wyświetl temat

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

jak ograniczyć UDP

Moderatorzy: tasiorek, JakubC, Mis'

Strona 2 z 4

[ Posty: 69 ]

Przejdź na stronę Poprzednia 1, 2, 3, 4 Następna

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

pectosol

Tytuł:

: poniedziałek, 7 stycznia 2008, 01:18

Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316

w faq pytanie

Cytuj:

26. Zastosowałem się do dwóch poprzednich pytań, a mimo to jakiś natręt dalej zapycha mi łącze

i link do UDP http://forum.freesco.pl/viewtopic.php?t=11192 >> np twój post

gdzieś jeszcze widzialem opis taki jak na początu ale to nie ma znaczenia kto to napisał bo idea jest ta sama.

Na górę

-MW-

Tytuł:

: poniedziałek, 7 stycznia 2008, 02:17

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

Cytuj:

iptables -I FORWARD -p udp --dport ! 53 -s 10.1.1.90 -m state --state NEW -j DROP
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 25/h -j ACCEPT

zakladajac ze nie mamy dns-a na routerze, moze tak bedzie bezpieczniej?

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Na górę

tasiorek

Tytuł:

: poniedziałek, 7 stycznia 2008, 11:06

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

pectosol, ktory z opisow wedlug Ciebie nie zawsze dziala (pomijajac nieprawidlowe zastosowanie)?

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

pectosol

Tytuł:

: poniedziałek, 7 stycznia 2008, 19:43

Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316

@tasiorek
ten
http://forum.freesco.pl/viewtopic.php?p=71122#71122

tzn działa i niedziala bo wpisując go w tej formie i stosując standardowy firewall pakiety nie są limitowane.

natomiast zamieniając w formule -A na -I i kolejność pakiety są limitowane. Sprawdzone.
Piszę o sytuacji sprawdzonej w moje sieci bo nie chce mi się kolejno analizować wpisów w iptables.

@-MW- niekoniecznie trzeba dodawać teki zapis. Bo przecież limitujemy UDP a nie wycinamy.
Czyli jeśli ktoś zachowuje się w ramach "limitu" to jest OK, natomiast odrzucamy tych co przeginają.
I znowu piszę z autopsji...mam wymuszony ruch DNS na mój serwer i na nim dnsmasq oraz opisane wcześniej reguły i wszystko chodzi.

Na górę

-MW-

Tytuł:

: poniedziałek, 7 stycznia 2008, 20:23

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

a ci co maja p2p wlaczone stron www nie moga ogladac w tym samym czasie?

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Na górę

pectosol

Tytuł:

: poniedziałek, 7 stycznia 2008, 22:14

Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316

mogą...tylko muszą używać p2p z głową.
Ważne jest dobro ogółu a nie jednostki.
W innym przypadku dla każdego takiego delikwenta powinieneś przydzielić indywidualne łącze z CIRem bo zaraz się oburzy że jak jednocześnie ściąga p2p, przegląda www, odtwarza VoD to mu rozmowy przez skype rwie... i masz coś z tym zrobić...

Na górę

-MW-

Tytuł:

: wtorek, 8 stycznia 2008, 00:00

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

ale to myslisz ze 4 letnie dzieci beda zglebiac tajniki internetu lub czy 70letni mezczyzni nie lubia popatrzec na gole babki na stronach jednoczesnie sciagajac pornole programem p2p,
co ich obchodzi twoja strategie - jesli dupek na www nie widac znaczy sie net jest zjebany!

to nie jest moj poglad tylko klientow.

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Na górę

tasiorek

Tytuł:

: wtorek, 8 stycznia 2008, 00:43

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

pectosol, jakbys mogl wrzucic na jakies pastenbin wynik iptables -L FORWARD z dopisanymi regulami jak nie dzialaja i dzialaja, to ja je przeanalizuje, bo u mnie takie cos nie wystapilo (tez korzystam ze standardowego fw).

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

-MW-

Tytuł:

: wtorek, 8 stycznia 2008, 00:53

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

Cytuj:

W innym przypadku dla każdego takiego delikwenta powinieneś przydzielić indywidualne łącze z CIRem bo zaraz się oburzy że jak jednocześnie ściąga p2p, przegląda www, odtwarza VoD to mu rozmowy przez skype rwie... i masz coś z tym zrobić...

jak sie co miesiac kase bierze pozostaje stuli uszy i obiecac poprawe .

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Na górę

pectosol

Tytuł:

: wtorek, 8 stycznia 2008, 11:43

Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316

-MW- pisze:

jak sie co miesiac kase bierze pozostaje stuli uszy i obiecac poprawe .

Mylisz się.
Wiem że "sprzedaję dobry i tani internet" - to są opinie moich klientów.
Ale czasem niektore rozwiązania są ekonomicznie nieopłacalne.
I ja to wtedy jasno komnikuję.
Z drugiej strony mamy wolny rynek...jak sie komuś to niepodoba to proszę bardzo jest neostrada+telefon TP, a jak komus mało i jest bardzo wymagający to niech sobie polpak założy lub po prostu skozysta z innego ISP.

W życu juz tak jest że oprócz mozliwości technicznych ważne są możliwości ekonomiczne - twoje i klienta.
Pozatym jest jeszcze jedna wazna rzecz którą często się pomija i nie zauważa - liczy się "czas" - zrozumie to każdy kto utrzymuje siebie i swoją rodzinę.

@tasiorek oto i wynik http://pastebin.com/f7166da4c
Widzisz drogi tasiorku zmusiłeś mnie do przemyślenia i.. rzeczywiście może być tak że nie działała bo mój standardowy firewall
zawierał jeden niedopowiedziany szczegół, a mianowicie przekierowanie portów... i ten szczegół może powodować że UDP nie sią limitowane...

Więc teraz przygladam sie dobrze firewallowi.
Widzę że część reguł jest dodawana na początek a część na koniec tabeli.
I chociaż w firewallu reguły są poukładane prawidłowo to stosowanie -A i -I powoduje, że i tak, tabela nie jest tworzona tak jakbysmy tego chcieli (albo myśleli).

W związku z tym należalo by się w tym momencie przyczepić do przekierowania portów w FAQu (pkt 50) do tam reguła nakazuje umieścic przekierowanie na początku i dlatego nie limituje UDP...bo nawet nie dojdzie do tej reguły

no to jeszcze raz wynik poprawionego wpisu http://pastebin.com/f6999af20

Na górę

tasiorek

Tytuł:

: wtorek, 8 stycznia 2008, 18:23

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

Nie sposob przewidziec jakie wpisy admin moze chciec dodac do firewalla i ukladac kolejnosc wszystkich mozliwych kombinacji. Dlatego rozwiazania w faq pozostana takie jeaki sa. Wypadaloby, zeby admin wprowadzajac jakies modyfikacjie do skryptow mial o nich zielone pojecie. Jesli tak bedzie, to prawidlowa kolejnosc bedzie w stanie ustalic sam.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

-MW-

Tytuł:

: wtorek, 8 stycznia 2008, 18:37

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

stworzenie mozliwosci korzystania z aplikacji interaktywnych zwlaszcza w sieciach radiowych jest totalnie nieekonomiczne wiec moze od razu przy podpisywaniu umowy zapytac klienta czy ma zamiar grac lub rozmawiac skypem - musze taki zapis ujac w umowie - roziwaze to wiele problemow i zwiekszy oblozenie nadajnikow conajmniej o 100%.

..... i znowu z sieci mozna bedzie wycisnac o kilka tysiecywiecej - hohoho.

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Na górę

pectosol

Tytuł:

: wtorek, 8 stycznia 2008, 21:32

Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316

-MW- pisze:

stworzenie mozliwosci korzystania z aplikacji interaktywnych

Taa oczywiście...bo obecnie każdy korzysta z symetrycznego łacza na którym może robić co chce, od wysyłania spamu po udostępnianie filmow porno.
Oczywiście rola admina w takiej sieci jest po to aby spam wychodził w pierwszej koleności przed filmami pedofilskimi i zoofilią.
Pozatym admin musi zapewnić łącze z gwarantowanym CIRem i awaryjnością łącza na poziomie 0% - a za każdą sekundę braku netu płaci klientowi odszkodowanie.
Oczywiście wszystko za darmo...bo teraz tak jest.

Naszczęszcie możliwości na takie fantazje reguluje rynek.

A z na poważnie. W takim razie po co jest NND? Po co -MW- jesteś takim aktywnym pisarzem na tym forum? Po co to wszystko?

zreszą, wszystko trzeba robić z głową...dyskutować i polemizować też.
EOT

Na górę

-MW-

Tytuł:

: wtorek, 8 stycznia 2008, 22:42

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

no coz - jeden ma inne zalozeni a kto inny jeszcze inne.

a potem nie mozna nadazyc z podlaczaniem klientow od konkurencji

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Na górę

Osfald

Tytuł:

: sobota, 12 stycznia 2008, 21:26

Użytkownik

Rejestracja: poniedziałek, 17 lipca 2006, 13:32
Posty: 220

jako kolejny korzystajacy z niesymetrycznego DSLa zapytuje czy pomimo takich regul:

: [/] [] ()

iptables -L FORWARD -n --line-numbers
Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    mrtg_traffic  all  --  0.0.0.0/0            0.0.0.0/0
2    DROP       tcp  --  192.168.20.0/24      0.0.0.0/0           tcp flags:0x16/0x02 #conn/32 > 100
3    ACCEPT     udp  --  192.168.20.0/24      0.0.0.0/0           state NEW limit: avg 5/sec burst 30
4    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           state NEW
5    ACCEPT     all  --  0.0.0.0/0            192.168.20.27
6    ACCEPT     all  --  192.168.20.27        0.0.0.0/0
7    ACCEPT     all  --  0.0.0.0/0            80.55.105.60
8    ACCEPT     all  --  0.0.0.0/0            192.168.20.10
9    ACCEPT     all  --  192.168.20.10        0.0.0.0/0
10   ACCEPT     all  --  0.0.0.0/0            80.55.105.59
11   ACCEPT     udp  --  0.0.0.0/0            192.168.20.49       udp dpt:29005
12   ACCEPT     tcp  --  0.0.0.0/0            192.168.20.49       tcp dpt:29005
13   ACCEPT     udp  --  0.0.0.0/0            192.168.20.39       udp dpt:29000
14   ACCEPT     tcp  --  0.0.0.0/0            192.168.20.39       tcp dpt:29000
15   ACCEPT     udp  --  0.0.0.0/0            192.168.20.11       udp dpt:29003
16   ACCEPT     tcp  --  0.0.0.0/0            192.168.20.11       tcp dpt:29003
17   ACCEPT     udp  --  0.0.0.0/0            192.168.20.12       udp dpt:29002
18   ACCEPT     tcp  --  0.0.0.0/0            192.168.20.12       tcp dpt:29002
19   ACCEPT     udp  --  0.0.0.0/0            192.168.20.34       udp dpt:29001
20   ACCEPT     tcp  --  0.0.0.0/0            192.168.20.34       tcp dpt:29001
21   ACCEPT     udp  --  0.0.0.0/0            192.168.20.15       udp dpt:4673
22   ACCEPT     tcp  --  0.0.0.0/0            192.168.20.15       tcp dpt:4663
23   DROP       tcp  --  192.168.20.14        0.0.0.0/0           tcp dpt:25
24   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
25   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
26   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

GeSHi © Codebox Plus

prawidlowe sa takie ilosci polaczen:

: [/] [] ()

cat /proc/net/ip_conntrack |grep tcp | sed -n 's%.* src=\(192.168.[0-9.]*\).*%\1%p'| sort | uniq -c
      1 192.168.20.1
      3 192.168.20.13
      1 192.168.20.14
      1 192.168.20.15
    184 192.168.20.16
     18 192.168.20.17
     10 192.168.20.18
     12 192.168.20.19
      9 192.168.20.23
     95 192.168.20.28
     13 192.168.20.29
     30 192.168.20.30
      1 192.168.20.31
      2 192.168.20.51
      1 192.168.20.52
      1 192.168.20.6

GeSHi © Codebox Plus

: [/] [] ()

cat /proc/net/ip_conntrack |grep udp | sed -n 's%.* src=\(192.168.[0-9.]*\).*%\1%p'| sort | uniq -c
      1 192.168.20.13
     57 192.168.20.16
      1 192.168.20.17
      2 192.168.20.19
      1 192.168.20.23
     12 192.168.20.255
     18 192.168.20.28
      1 192.168.20.29
      5 192.168.20.30
      1 192.168.20.51
      2 192.168.20.8

GeSHi © Codebox Plus

w przypadku polaczen TCP mam czesto wiecej takich przypadkow (jak 192.168.20.16) kiedy na kilku IP ilosc polaczen przekracza nawet 200 pomimo limitu na 100... wielokrotnie zamykalem polaczenia skryptem clr_conns... bez rezultatu

przy takich ustwieniach regul odnosnie UDP ilosc pakietow na jedno IP (w sensie tablicy conntrack) nie przekracza 200...

klopoty takie pojawily sie niedawno... zaczelo sie od utraty do 20% pakietow przy pingowaniu www.wp.pl... pingi na www.onet.pl mam w normie (0-1% straty)... czyzby jakies masowe zaraznie wirolem w sieci lokalnej i firewall przestaje radzic sobie z iloscia polaczen?

obciazenie lacza waha sie u mnie zawsze w granicach 50-80% (niceshaper 0.5)

_________________

Na górę

jaba

Tytuł:

: sobota, 12 stycznia 2008, 22:27

Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek

U mnie także po kilku dniach testów i zmiany wartości żadnych zmian. Jak 10.1.1.90 miał ponad 300 UDP tak ma dalej.
mam takie reguły - co może byc nie tak?

: [/] [] ()

iptables -L FORWARD -n --line-numbers
Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            10.1.1.88
2    ACCEPT     all  --  10.1.1.88            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            83.15.x.x
4    mrtg_traffic  all  --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     udp  --  0.0.0.0/0            10.1.1.8            udp dpt:411
6    ACCEPT     tcp  --  0.0.0.0/0            10.1.1.8            tcp dpt:411
7    ACCEPT     udp  --  10.1.1.90            0.0.0.0/0           state NEW limit: avg 3/sec burst 10
8    DROP       udp  --  10.1.1.90            0.0.0.0/0           state NEW
9    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
10   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 135,445
11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
12   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

Na górę

Osfald

Tytuł:

: sobota, 12 stycznia 2008, 22:34

Użytkownik

Rejestracja: poniedziałek, 17 lipca 2006, 13:32
Posty: 220

przemiesc reguly tak aby te dwie:

: [/] [] ()

7    ACCEPT     udp  --  10.1.1.90            0.0.0.0/0           state NEW limit: avg 3/sec burst 10 
8    DROP       udp  --  10.1.1.90            0.0.0.0/0           state NEW 

byly przynajmniej nad ta regula:

: [/] [] ()

3 ACCEPT all -- 0.0.0.0/0 83.15.x.x

_________________

Na górę

jaba

Tytuł:

: sobota, 12 stycznia 2008, 22:44

Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek

Osfald pisze:

: [/] [] ()

iptables -L FORWARD -n --line-numbers
Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    mrtg_traffic  all  --  0.0.0.0/0            0.0.0.0/0
2    DROP       tcp  --  192.168.20.0/24      0.0.0.0/0           tcp flags:0x16/0x02 #conn/32 > 100
3    ACCEPT     udp  --  192.168.20.0/24      0.0.0.0/0           state NEW limit: avg 5/sec burst 30
4    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           state NEW

A Ty w którym miejscu masz to wpisane? (przed jakim wpisem w firewall).

Na górę

jaba

Tytuł:

: sobota, 12 stycznia 2008, 23:43

Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek

Wygląda na to, iż aby reguły były tak:

: [/] [] ()

iptables -L FORWARD -n --line-numbers
Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     udp  --  10.1.1.90            0.0.0.0/0           state NEW limit: avg 3/sec burst 5
2    DROP       udp  --  10.1.1.90            0.0.0.0/0           state NEW
3    ACCEPT     all  --  0.0.0.0/0            10.1.1.88
4    ACCEPT     all  --  10.1.1.88            0.0.0.0/0
5    ACCEPT     all  --  0.0.0.0/0            83.15.x.x
6    mrtg_traffic  all  --  0.0.0.0/0            0.0.0.0/0
7    ACCEPT     udp  --  0.0.0.0/0            10.1.1.8            udp dpt:411
8    ACCEPT     tcp  --  0.0.0.0/0            10.1.1.8            tcp dpt:411
9    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
10   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 135,445
11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
12   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

wystarczy stworzyć plik z regułami w rc.d i dodać do sekcji DAEMONS w rc.conf - ale czy to pomoże ograniczyć UDP?
Wydaje mi się że już tak próbowałem ...

Na górę

Osfald

Tytuł:

: niedziela, 13 stycznia 2008, 01:47

Użytkownik

Rejestracja: poniedziałek, 17 lipca 2006, 13:32
Posty: 220

jaba do ustalania miejsca w ktorym bedzie regula w danym lancuchu sluza odpowiednie opcje dodawania tej reguly... dla przykladu

1. iptables -A FORWARD -doda regule na koncu lancucha FORWARD
2. iptables -I FORWARD -doda regule na poczatek lancucha

plik firewall'a jest przetwarzany od gory do dolu... jesli zostanie napotkana regula z przelacznikiem -I to zostanie dodana na gore (na szczyt) danego lancucha... nastepna napotkana regula z przelacznikiem -I znowu zostanie dodana na sama gore wiec ta poprzednia spadnie na miejsce drugie. Odwrotnie wyglada to w przypadku przelacznika -A ktory doda regule na koniec. Kiedy podczas przetwarzania pliku firewall'a zostanie napotkana nastepna regula z przelacznikiem -A to ona bedzie ostatnia, a ta poprzednia podniesie o jedno miejsce wyzej

Ogladnij swoj plik firewall, znajdz regulki z przelacznikiem -I w lacuchu FORWARD. Ostatnia z nich po przetworzeniu pliku firewall bedzie pierwsza

Znajdz w firewall'u regulki z przelacznikiem -A w lancuchu FORWARD. Ostatnia z nich bedzie takze ostatnia po przetworzeniu pliku firewall'a

PS

mozesz tez zastosowac w przypadku przelacznika -I jawnie podany numer pozycji w lancuchu regul.

tak uporzadkowane reguly sa przetwarzane w lancuchach od gory do dolu... wpada pakiet i zostaje porownany z regula nr1: pasuje? nie. to przechodzi do reguly nr2. pasuje? nie. to do reguly 3.... itd az w koncu ktoras regula bedzie pasowac do cech pakietu i przetwarzanie zostanie zakonczone z odpowiednim dla pakietu skutkiem

jesli nie bedzie pasowac do zadnej regulki to zostanie zdropowany (taka jest polityka domyslna w twoim lancuchu FORWARD)

_________________

Na górę

Strona 2 z 4

[ Posty: 69 ]

Przejdź na stronę Poprzednia 1, 2, 3, 4 Następna

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 61 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników