Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 20:46

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 69 ]  Przejdź na stronę 1, 2, 3, 4  Następna
Autor Wiadomość
Post: niedziela, 6 stycznia 2008, 21:14 
Offline
Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek
Mam problem z jednym użytkownikiem - ma kilkaset połączeń UDP (nawet do 500-600).
Próbowałem
: [/] [] ()
iptables -A FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT
iptables -A FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP

zmianiałem limit nawet na 1/s oraz --limit-burst na 5 - żadnych zmian.

Jak przyciąć ilość UDP? Gość łączy się po radio i trochę zapycha AP.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 21:16 
Offline
Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój
moze bardziej rgorystycznie

iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 25/h -j ACCEPT


lub poprostu

iptables -I FORWARD -p udp -s 10.1.1.90 --dport ! 53 -j DROP

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ


Ostatnio zmieniony poniedziałek, 7 stycznia 2008, 02:14 przez -MW-, łącznie zmieniany 3 razy

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 21:19 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Umiescic te reguly w odpowiednim miejscu firewalla.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 21:27 
Offline
Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek
tasiorek pisze:
Umiescic te reguly w odpowiednim miejscu firewalla.


mam "standardowego" firewalla próbowałem dodawać te wpisy po
: [/] [] ()
   
# pingi pozwalamy
$i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec

ale też brak efektów.

całkowita blokada raczej odpada - co niektórzy to gracze.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 21:42 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Te reguly nie zablokuja istniejacych strumieni. Jesli jestes pewny, ze te ktore wisza, nie byly "nawiazane" sprzed wpisaniem tych regul, to poszukaj innych sposobow w faq.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 21:58 
Offline
Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek
tasiorek pisze:
Te reguly nie zablokuja istniejacych strumieni. Jesli jestes pewny, ze te ktore wisza, nie byly "nawiazane" sprzed wpisaniem tych regul, to poszukaj innych sposobow w faq.

Reguły wklepałem i czekałem 3 dni i przez te 3 dni nie było na wykresach mrtg żadnych zmian.

ps. próbowałem też
: [/] [] ()
 
iptables -t filter -A FORWARD -s 10.1.1.90 -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT
- ale nie jestem pewien czy w tym przypadku nie trzeba czegoś doinstalować - mam tylko nice 0.5


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 22:05 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
tasiorek pisze:
Umiescic te reguly w odpowiednim miejscu firewalla.

- czyli (ja to tak rozumiem ;) ) daj dla pewności -I zamiast -A ...

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 23:12 
Offline
Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój
Cytuj:
moze bardziej rgorystycznie

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 23:36 
Offline
Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek
viater pisze:
daj dla pewności -I zamiast -A ...


Coś drgnęło ... ;)
wklepałem
Cytuj:
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP

i spadło, dalsze testy jutro bo "pacjent" wyłączył dziś już komputer.
Potestuję i za kilka dni podzielę się efektami.

Dzięki za szybką pomoc.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 23:37 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
tasiorek pisze:
Te reguly nie zablokuja istniejacych strumieni. Jesli jestes pewny, ze te ktore wisza, nie byly "nawiazane"


Możesz rozwinąć temat?
Wydawało mi się że UDP jest bezpołączeniowe i nie "nawiązują" połączeń... :?:


i zastanawia mnie jeszcze jedno.
Czy kolejność nie powinna być taka ? :
: [/] [] ()
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP

iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 23:52 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Dlatego nawiazane jest w cudzyslowiu. Pomimo braku m.in. paczek z flaga syn tablica contrack oznacza sobie paczki np. stanem NEW ktory to moze sie przydac w ograniczeniu ilosci strumieni.

Nie dziwie sie, ze user wylaczyl kompa, po tym jak autor watku wklepal reguly ktore podal w ostatnim poscie :P

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 6 stycznia 2008, 23:55 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
pectosol pisze:
Czy kolejność nie powinna być taka ? :
: [/] [] ()
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP

iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT

Jak najbardziej taka :)

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 7 stycznia 2008, 00:02 
Offline
Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek
pectosol pisze:
zastanawia mnie jeszcze jedno.
Czy kolejność nie powinna być taka ?
: [/] [] ()
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT



mam w odwrotnej kolejności ale iptables -L pokazuje:
: [/] [] ()
target     prot opt source               destination
DROP       udp  --  w_20                 anywhere            state NEW
ACCEPT     udp  --  w_20                 anywhere            state NEW limit: avg 5/sec burst 10


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 7 stycznia 2008, 00:06 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
to może ktoś to poprawi w faq
bo wskazanie z niego prowadzi do tytułowego opisu który nie zawsze działa...
(patrz tytułowy przykład)

z doświadzeń w mojej sieci wynika że wartość limit może wynośić od 25 do 60 natomiast limit-brust od 40 do 100

Wszystko zależy od łącza i jego obciązenia.
Można to ładnie "kalibrować" na takim pacjencie odserwując wyniki na statach z niceshapera (/var/www/nsstats.txt i odświerzamy podgląd tego pliku co 5s)

jaba pisze:
mam w odwrotnej kolejności ale iptables -L pokazuje:


i właśnie dlatego powienieś wpisać tak jak ja sugeruję bo:
opcja -A dodaje na końcu reguły iptables
a -I na sam początek czyli przesówa w dół wszystkie istniejące

Głęboko się jednak nad tym zastanawiajać myślę że i te rozwiązanie jest nienajlepsze bo dobrze trzeba kontrolować koleność reguł...no ale taka to już zabawa admina aby kombinował


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 7 stycznia 2008, 00:26 
Offline
Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek
pectosol pisze:
Głęboko się jednak nad tym zastanawiajać myślę że i te rozwiązanie jest nienajlepsze...

Też mi się tak wydaje, ale to rozwiązanie na niedługi czas. Jak się ociepli planuję wymianę AP600 na wydajnego Mikrotika i tam ewentulanie limitować (u źródła).


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 7 stycznia 2008, 00:39 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
jaba pisze:
Jak się ociepli planuję wymianę AP600 na wydajnego Mikrotika i tam ewentulanie limitować (u źródła).

To daj znać jak będziesz wyrzucał ten niewydajny sprzęt. :lol:


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 7 stycznia 2008, 00:43 
Offline
Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek
pectosol pisze:
To daj znać jak będziesz wyrzucał ten niewydajny sprzęt. :lol:


he he .. AP600 to wydajny i stabilny APk, ale 27 ludków to już trochę sporo i powoli z p2p zaczyna niewyrabiać.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 7 stycznia 2008, 00:55 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
jaba pisze:
ale 27 ludków to już trochę sporo i powoli z p2p zaczyna niewyrabiać.


jeśli myślisz że MT cie uratuje to jesteś w błędzie.

27 "aktywnych końcówek" to max ograniczenie dla 802.11b/g - właściwie i tak już mocno naciągnięte.
A jeśli doliczysz do tego zakłucenia na dwóch sąsiednich kanałach i przesterowany sygnał to i 18 może być problemem - nieważne na jakim sprzęcie


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 7 stycznia 2008, 01:03 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
pectosol pisze:
to może ktoś to poprawi w faq
bo wskazanie z niego prowadzi do tytułowego opisu który nie zawsze działa...
(patrz tytułowy przykład)


Mozesz dokladniej? Nie znam faq na pamiec i nie mam zamiaru sprawdzac wszystkich linkow.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 7 stycznia 2008, 01:05 
Offline
Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek
pectosol pisze:
27 "aktywnych końcówek" to max ograniczenie dla 802.11b/g - właściwie i tak już mocno naciągnięte.

tak zdaje sobie z tego sprawę, dlatego też szukam miejsca na drugą bazę która by odciążyłą istniejącą.
AP zostanie przesunięte na "nową" bazę a na jego miejsce MT (jest tańszy i można na jednym urządzeniu zrobić linka na 5 i bazę na 2.4).


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 69 ]  Przejdź na stronę 1, 2, 3, 4  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 27 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl