Freesco, NND, CDN, EOS

Witam mam pytanie jak ograniczyć danemu użytkownikowi liczbę połączeń bo jeśli siądzie to zapycha mi całe łącze pakietami

ja to robie przez firewall czerwa wpisujesz limit połączeń i liste adresów ip
www.listonosz.com.pl

_________________
Jeśli post okazał się pomocny kliknij Pomógł
GG: 9822296

Multimo 2Mb

u mnie coś ostatnio limit połączeń nie pomógł, klient pełnym pasmem uploadu wysyłał protokołem icmp do jakiejś uczelni w stanach dane. niceshaper0.6rc6 pokazywał 130kB/s ale nie przycinał... trzeba było odciąć, wyciąłem pakiety powyżej 1500bajtow ale chyba nieskutecznie... po zablokowaniu pingów uspokoiło się na 10 min po czym atakował bramę

rc6 tez mi nie limitował więc wróciłem do sprawdzonego rc4

_________________
Jeśli post okazał się pomocny kliknij Pomógł
GG: 9822296

Multimo 2Mb

a jak zrobić aby pakiety nie przekraczały 1000bajtów ?

ustawiłem ograniczenie połączeń w firewallu na 200 tak jak było domyślnie można mniej ? czy to coś pogorszy działanie internetu ?

ja nie stosuje takich drastycznych ograniczeń tylko limit połączeń na 180
sprawdz czy wpisałeś adresy ip hostów ograniczanych miałem kiedyś na 80 ustawione i działało bez problemu

_________________
Jeśli post okazał się pomocny kliknij Pomógł
GG: 9822296

Multimo 2Mb

tak wpisałem i jak na razie pingi nie przekraczają 50 ms (do onetu) może ktoś wie jak ograniczyć pakiety do 1000bajów ?

może mi ktoś pomóc bardzo proszę

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

to tez jest pozyteczne

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

to mam dopisać w firewallu ? mógł byś mi napisać dokładnie jestem początkujący w nnd

Dlaczego chcesz blokować >=1000 pakiety?
Przecież standardowe MTU interfejsów ethernetowych wynosi 1500

Zablokujesz tym sposobem większość ruchu

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

to nie będę tego robił powiedz mi ten firewall który instalowałem jest chyba twojego autorstwa sądząc po nicku na forum co oznacza opcja tworzenie firewalla? przedtem ją włączyłem to zablokowało internet całkowicie nie wiem czemu i musiałem reinstalować nnd bo nie umiałem tego wyłączyć i jeszcze jedno pytanie jak przytnę ilość połączeń prosto po instalacji to trzeba coś jeszcze gdzieś dopisywać aby to działało ? (ustawiam to wszystko za pomocą nndconf)

1. Nie mam zdolności jasnowidzenia, wiec nie wiem jaki firewall zainstalowałeś.
2. Mojego współ"autorstwa" jeśli można to tak określić są standardowe firewale dostępne w repozytorium w pakietach iptables (zdaje się że są dwie wersje zdecydowanie polecam nowszą z możliwością przekierowań i wymienienia adresów IP z sieci lokalnej uprawnionych do dostępu do internetu)
3. Firewale te dostarczane są w stanie takim jakim są, gotowe do używania bez potrzeby jakiejkolwiek konfiguracji i nie ma tam opcji tworzenia firewala.
4. Również nie wiem dlaczego jak włączyłeś to zablokowało internet całkowicie, zapewne popełniłeś błąd w czasie konfiguracji.
5. Sądzę, że należało by zdiagnozować problem u źródła, którym zapewne jest obecność w systemie "danego użytkownika" niepożądanych programów (wirusy, trojany etc.), a nie działać objawowo. "Administruje" kilkoma dużymi sieciami i w żadnej nie musiałem "ograniczać liczby połączeń". Jeśli coś "przecieka" przez HTB to należy sprawdzić jak to możliwe i podjąć odpowiednie kroki zaradcze.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

to co radzisz zrobić z klientem który ma rozdzielone moje łącze w domu na trzy komputery ? chyba jakoś trzeba mu ograniczyć dostęp do sieci ?

Sprawa jest prostsza niż myślisz.
Wystarczy zastosować niceshaper i każdy IP może dostać określone z góry pasmo (tak jest w sieciach komercyjnych), wtedy nic cię nie obchodzi, ile on ma tam komputerów. Dostanie swoje np. 512 i niech sobie korzysta jak chce. Jeśli zaś należysz do adminów upierdliwych to, aby udowodnić swoją władzę nad userami możesz ustawić TTL=1 i już nie podzieli netu, zapewne pójdzie sobie do innego dostawcy, który nie będzie takich kłopotów robić.
Jeśli to jest łącze sąsiedzkie, to trzeba się jakoś wtedy dogadać i cos tam postanowić...

_________________
Belfer.one.PL
Audio Cafe

ale czy htb nie przydziela mu z góry 1024 bo tak mam ustawione ? chyba też działa jak niceshaper

Tak.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

</global>

<download>
link speed 120kbps shape 110kbps
# user low 0kbps ceil 60kbps strict 50% prio 5
# interactive rate 0kbps ceil 0kbps
# interactive srcport 27960,22 dstport 27960,22
# interactive srcip 208.231.90.235
# interactive u32 match ip protocol 1 0xff
# interactive u32 match ip tos 0x10 0xff
policy dynamic
</download>

<upload>
link speed 32kbps shape 25kbps
# user low 5kbps ceil 16kbps strict 50% prio 5
# interactive rate 0kbps ceil 0kbps
# interactive srcport 22,27960 dstport 22,27960
# interactive dstip 208.231.90.235
policy dynamic
</upload>

Co tutaj jest źle ustawione ? jak wpisze niceshaper start to wyskakuje
[root@router kk]# niceshaper start
Do not use mask with your router IP:10.10.100.1/24
Check your 'do not shape local' directives

quit...