tasiorek pisze:
Umiescic te reguly w odpowiednim miejscu firewalla.
- czyli (ja to tak rozumiem
) daj dla pewności -I zamiast -A ...
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| jak ograniczyć UDP http://forum.freesco.pl/viewtopic.php?f=22&t=16410 |
Strona 1 z 4 |
| Autor: | jaba [ niedziela, 6 stycznia 2008, 21:14 ] |
| Tytuł: | jak ograniczyć UDP |
Mam problem z jednym użytkownikiem - ma kilkaset połączeń UDP (nawet do 500-600). Próbowałem iptables -A FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT iptables -A FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP zmianiałem limit nawet na 1/s oraz --limit-burst na 5 - żadnych zmian. Jak przyciąć ilość UDP? Gość łączy się po radio i trochę zapycha AP. |
|
| Autor: | -MW- [ niedziela, 6 stycznia 2008, 21:16 ] |
| Tytuł: | |
moze bardziej rgorystycznie iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 25/h -j ACCEPT lub poprostu iptables -I FORWARD -p udp -s 10.1.1.90 --dport ! 53 -j DROP |
|
| Autor: | tasiorek [ niedziela, 6 stycznia 2008, 21:19 ] |
| Tytuł: | |
Umiescic te reguly w odpowiednim miejscu firewalla. |
|
| Autor: | jaba [ niedziela, 6 stycznia 2008, 21:27 ] |
| Tytuł: | |
tasiorek pisze: Umiescic te reguly w odpowiednim miejscu firewalla.
mam "standardowego" firewalla próbowałem dodawać te wpisy po # pingi pozwalamy $i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec ale też brak efektów. całkowita blokada raczej odpada - co niektórzy to gracze. |
|
| Autor: | tasiorek [ niedziela, 6 stycznia 2008, 21:42 ] |
| Tytuł: | |
Te reguly nie zablokuja istniejacych strumieni. Jesli jestes pewny, ze te ktore wisza, nie byly "nawiazane" sprzed wpisaniem tych regul, to poszukaj innych sposobow w faq. |
|
| Autor: | jaba [ niedziela, 6 stycznia 2008, 21:58 ] |
| Tytuł: | |
tasiorek pisze: Te reguly nie zablokuja istniejacych strumieni. Jesli jestes pewny, ze te ktore wisza, nie byly "nawiazane" sprzed wpisaniem tych regul, to poszukaj innych sposobow w faq.
Reguły wklepałem i czekałem 3 dni i przez te 3 dni nie było na wykresach mrtg żadnych zmian. ps. próbowałem też iptables -t filter -A FORWARD -s 10.1.1.90 -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT |
|
| Autor: | viater [ niedziela, 6 stycznia 2008, 22:05 ] |
| Tytuł: | |
tasiorek pisze: Umiescic te reguly w odpowiednim miejscu firewalla.
- czyli (ja to tak rozumiem ) daj dla pewności -I zamiast -A ...
|
|
| Autor: | -MW- [ niedziela, 6 stycznia 2008, 23:12 ] |
| Tytuł: | |
Cytuj: moze bardziej rgorystycznie
|
|
| Autor: | jaba [ niedziela, 6 stycznia 2008, 23:36 ] |
| Tytuł: | |
viater pisze: daj dla pewności -I zamiast -A ... Coś drgnęło ... wklepałem Cytuj: iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP i spadło, dalsze testy jutro bo "pacjent" wyłączył dziś już komputer. Potestuję i za kilka dni podzielę się efektami. Dzięki za szybką pomoc. |
|
| Autor: | pectosol [ niedziela, 6 stycznia 2008, 23:37 ] |
| Tytuł: | |
tasiorek pisze: Te reguly nie zablokuja istniejacych strumieni. Jesli jestes pewny, ze te ktore wisza, nie byly "nawiazane"
Możesz rozwinąć temat? Wydawało mi się że UDP jest bezpołączeniowe i nie "nawiązują" połączeń... 
i zastanawia mnie jeszcze jedno. Czy kolejność nie powinna być taka ? : iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT |
|
| Autor: | tasiorek [ niedziela, 6 stycznia 2008, 23:52 ] |
| Tytuł: | |
Dlatego nawiazane jest w cudzyslowiu. Pomimo braku m.in. paczek z flaga syn tablica contrack oznacza sobie paczki np. stanem NEW ktory to moze sie przydac w ograniczeniu ilosci strumieni. Nie dziwie sie, ze user wylaczyl kompa, po tym jak autor watku wklepal reguly ktore podal w ostatnim poscie 
|
|
| Autor: | viater [ niedziela, 6 stycznia 2008, 23:55 ] |
| Tytuł: | |
pectosol pisze: Czy kolejność nie powinna być taka ? :
iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT Jak najbardziej taka 
|
|
| Autor: | jaba [ poniedziałek, 7 stycznia 2008, 00:02 ] |
| Tytuł: | |
pectosol pisze: zastanawia mnie jeszcze jedno. Czy kolejność nie powinna być taka ? iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -j DROP iptables -I FORWARD -p udp -s 10.1.1.90 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT mam w odwrotnej kolejności ale iptables -L pokazuje: target prot opt source destination DROP udp -- w_20 anywhere state NEW ACCEPT udp -- w_20 anywhere state NEW limit: avg 5/sec burst 10 |
|
| Autor: | pectosol [ poniedziałek, 7 stycznia 2008, 00:06 ] |
| Tytuł: | |
to może ktoś to poprawi w faq bo wskazanie z niego prowadzi do tytułowego opisu który nie zawsze działa... (patrz tytułowy przykład) z doświadzeń w mojej sieci wynika że wartość limit może wynośić od 25 do 60 natomiast limit-brust od 40 do 100 Wszystko zależy od łącza i jego obciązenia. Można to ładnie "kalibrować" na takim pacjencie odserwując wyniki na statach z niceshapera (/var/www/nsstats.txt i odświerzamy podgląd tego pliku co 5s) jaba pisze: mam w odwrotnej kolejności ale iptables -L pokazuje:
i właśnie dlatego powienieś wpisać tak jak ja sugeruję bo: opcja -A dodaje na końcu reguły iptables a -I na sam początek czyli przesówa w dół wszystkie istniejące Głęboko się jednak nad tym zastanawiajać myślę że i te rozwiązanie jest nienajlepsze bo dobrze trzeba kontrolować koleność reguł...no ale taka to już zabawa admina aby kombinował |
|
| Autor: | jaba [ poniedziałek, 7 stycznia 2008, 00:26 ] |
| Tytuł: | |
pectosol pisze: Głęboko się jednak nad tym zastanawiajać myślę że i te rozwiązanie jest nienajlepsze...
Też mi się tak wydaje, ale to rozwiązanie na niedługi czas. Jak się ociepli planuję wymianę AP600 na wydajnego Mikrotika i tam ewentulanie limitować (u źródła). |
|
| Autor: | pectosol [ poniedziałek, 7 stycznia 2008, 00:39 ] |
| Tytuł: | |
jaba pisze: Jak się ociepli planuję wymianę AP600 na wydajnego Mikrotika i tam ewentulanie limitować (u źródła).
To daj znać jak będziesz wyrzucał ten niewydajny sprzęt. 
|
|
| Autor: | jaba [ poniedziałek, 7 stycznia 2008, 00:43 ] |
| Tytuł: | |
pectosol pisze: To daj znać jak będziesz wyrzucał ten niewydajny sprzęt.
he he .. AP600 to wydajny i stabilny APk, ale 27 ludków to już trochę sporo i powoli z p2p zaczyna niewyrabiać. |
|
| Autor: | pectosol [ poniedziałek, 7 stycznia 2008, 00:55 ] |
| Tytuł: | |
jaba pisze: ale 27 ludków to już trochę sporo i powoli z p2p zaczyna niewyrabiać.
jeśli myślisz że MT cie uratuje to jesteś w błędzie. 27 "aktywnych końcówek" to max ograniczenie dla 802.11b/g - właściwie i tak już mocno naciągnięte. A jeśli doliczysz do tego zakłucenia na dwóch sąsiednich kanałach i przesterowany sygnał to i 18 może być problemem - nieważne na jakim sprzęcie |
|
| Autor: | tasiorek [ poniedziałek, 7 stycznia 2008, 01:03 ] |
| Tytuł: | |
pectosol pisze: to może ktoś to poprawi w faq
bo wskazanie z niego prowadzi do tytułowego opisu który nie zawsze działa... (patrz tytułowy przykład) Mozesz dokladniej? Nie znam faq na pamiec i nie mam zamiaru sprawdzac wszystkich linkow. |
|
| Autor: | jaba [ poniedziałek, 7 stycznia 2008, 01:05 ] |
| Tytuł: | |
pectosol pisze: 27 "aktywnych końcówek" to max ograniczenie dla 802.11b/g - właściwie i tak już mocno naciągnięte.
tak zdaje sobie z tego sprawę, dlatego też szukam miejsca na drugą bazę która by odciążyłą istniejącą. AP zostanie przesunięte na "nową" bazę a na jego miejsce MT (jest tańszy i można na jednym urządzeniu zrobić linka na 5 i bazę na 2.4). |
|
| Strona 1 z 4 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|