Witam mam pytanie jak ograniczyć danemu użytkownikowi liczbę połączeń bo jeśli siądzie to zapycha mi całe łącze pakietami
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Ograniczenie połączeń http://forum.freesco.pl/viewtopic.php?f=22&t=17188 |
Strona 1 z 2 |
| Autor: | krystiankawa [ środa, 10 września 2008, 14:33 ] |
| Tytuł: | Ograniczenie połączeń |
Witam mam pytanie jak ograniczyć danemu użytkownikowi liczbę połączeń bo jeśli siądzie to zapycha mi całe łącze pakietami
|
|
| Autor: | realisty [ środa, 10 września 2008, 15:54 ] |
| Tytuł: | |
ja to robie przez firewall czerwa wpisujesz limit połączeń i liste adresów ip www.listonosz.com.pl |
|
| Autor: | Raflik [ środa, 10 września 2008, 17:42 ] |
| Tytuł: | |
u mnie coś ostatnio limit połączeń nie pomógł, klient pełnym pasmem uploadu wysyłał protokołem icmp do jakiejś uczelni w stanach dane. niceshaper0.6rc6 pokazywał 130kB/s ale nie przycinał... trzeba było odciąć, wyciąłem pakiety powyżej 1500bajtow ale chyba nieskutecznie... po zablokowaniu pingów uspokoiło się na 10 min po czym atakował bramę |
|
| Autor: | realisty [ środa, 10 września 2008, 19:44 ] |
| Tytuł: | |
rc6 tez mi nie limitował więc wróciłem do sprawdzonego rc4 |
|
| Autor: | krystiankawa [ czwartek, 11 września 2008, 13:26 ] |
| Tytuł: | |
a jak zrobić aby pakiety nie przekraczały 1000bajtów ? |
|
| Autor: | krystiankawa [ czwartek, 11 września 2008, 13:27 ] |
| Tytuł: | |
ustawiłem ograniczenie połączeń w firewallu na 200 tak jak było domyślnie można mniej ? czy to coś pogorszy działanie internetu ? |
|
| Autor: | realisty [ czwartek, 11 września 2008, 13:40 ] |
| Tytuł: | |
ja nie stosuje takich drastycznych ograniczeń tylko limit połączeń na 180 sprawdz czy wpisałeś adresy ip hostów ograniczanych miałem kiedyś na 80 ustawione i działało bez problemu |
|
| Autor: | krystiankawa [ czwartek, 11 września 2008, 14:35 ] |
| Tytuł: | |
tak wpisałem i jak na razie pingi nie przekraczają 50 ms (do onetu) może ktoś wie jak ograniczyć pakiety do 1000bajów ? |
|
| Autor: | krystiankawa [ czwartek, 11 września 2008, 23:20 ] |
| Tytuł: | |
może mi ktoś pomóc bardzo proszę |
|
| Autor: | -MW- [ piątek, 12 września 2008, 00:14 ] |
| Tytuł: | |
Cytuj: iptables -t filter -I FORWARD -p all -m length --length 1001:65535 -j REJECT
|
|
| Autor: | -MW- [ piątek, 12 września 2008, 00:17 ] |
| Tytuł: | |
to tez jest pozyteczne Cytuj: # Odrzucanie pakietow pofragmentowanych
iptables -t mangle -I PREROUTING -f -j DROP |
|
| Autor: | krystiankawa [ piątek, 12 września 2008, 07:28 ] |
| Tytuł: | |
to mam dopisać w firewallu ? mógł byś mi napisać dokładnie jestem początkujący w nnd |
|
| Autor: | zciech [ piątek, 12 września 2008, 11:00 ] |
| Tytuł: | |
krystiankawa pisze: a jak zrobić aby pakiety nie przekraczały 1000bajtów ?
Dlaczego chcesz blokować >=1000 pakiety? Przecież standardowe MTU interfejsów ethernetowych wynosi 1500 root@polrad:~$ifconfig eth0 Link encap:Ethernet HWaddr 00:30:4F:17:28:32 inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Zablokujesz tym sposobem większość ruchu |
|
| Autor: | krystiankawa [ piątek, 12 września 2008, 12:10 ] |
| Tytuł: | |
to nie będę tego robił  powiedz mi ten firewall który instalowałem jest chyba twojego autorstwa sądząc po nicku na forum co oznacza opcja tworzenie firewalla? przedtem ją włączyłem to zablokowało internet całkowicie nie wiem czemu i musiałem reinstalować nnd bo nie umiałem tego wyłączyć i jeszcze jedno pytanie jak przytnę ilość połączeń prosto po instalacji to trzeba coś jeszcze gdzieś dopisywać aby to działało ? (ustawiam to wszystko za pomocą nndconf)
|
|
| Autor: | zciech [ piątek, 12 września 2008, 13:38 ] |
| Tytuł: | |
1. Nie mam zdolności jasnowidzenia, wiec nie wiem jaki firewall zainstalowałeś. 2. Mojego współ"autorstwa" jeśli można to tak określić są standardowe firewale dostępne w repozytorium w pakietach iptables (zdaje się że są dwie wersje zdecydowanie polecam nowszą z możliwością przekierowań i wymienienia adresów IP z sieci lokalnej uprawnionych do dostępu do internetu) 3. Firewale te dostarczane są w stanie takim jakim są, gotowe do używania bez potrzeby jakiejkolwiek konfiguracji i nie ma tam opcji tworzenia firewala. 4. Również nie wiem dlaczego jak włączyłeś to zablokowało internet całkowicie, zapewne popełniłeś błąd w czasie konfiguracji. 5. Sądzę, że należało by zdiagnozować problem u źródła, którym zapewne jest obecność w systemie "danego użytkownika" niepożądanych programów (wirusy, trojany etc.), a nie działać objawowo. "Administruje" kilkoma dużymi sieciami i w żadnej nie musiałem "ograniczać liczby połączeń". Jeśli coś "przecieka" przez HTB to należy sprawdzić jak to możliwe i podjąć odpowiednie kroki zaradcze. |
|
| Autor: | krystiankawa [ piątek, 12 września 2008, 14:13 ] |
| Tytuł: | |
to co radzisz zrobić z klientem który ma rozdzielone moje łącze w domu na trzy komputery ? chyba jakoś trzeba mu ograniczyć dostęp do sieci ? |
|
| Autor: | Maciek [ piątek, 12 września 2008, 14:34 ] |
| Tytuł: | |
Sprawa jest prostsza niż myślisz. Wystarczy zastosować niceshaper i każdy IP może dostać określone z góry pasmo (tak jest w sieciach komercyjnych), wtedy nic cię nie obchodzi, ile on ma tam komputerów. Dostanie swoje np. 512 i niech sobie korzysta jak chce. Jeśli zaś należysz do adminów upierdliwych to, aby udowodnić swoją władzę nad userami możesz ustawić TTL=1 i już nie podzieli netu, zapewne pójdzie sobie do innego dostawcy, który nie będzie takich kłopotów robić. Jeśli to jest łącze sąsiedzkie, to trzeba się jakoś wtedy dogadać i cos tam postanowić... |
|
| Autor: | krystiankawa [ piątek, 12 września 2008, 15:00 ] |
| Tytuł: | |
ale czy htb nie przydziela mu z góry 1024 bo tak mam ustawione ? chyba też działa jak niceshaper |
|
| Autor: | zciech [ piątek, 12 września 2008, 15:19 ] |
| Tytuł: | |
krystiankawa pisze: ale czy htb nie przydziela mu z góry 1024 bo tak mam ustawione ? chyba też działa jak niceshaper
Tak. |
|
| Autor: | krystiankawa [ piątek, 12 września 2008, 15:21 ] |
| Tytuł: | |
</global> <download> link speed 120kbps shape 110kbps # user low 0kbps ceil 60kbps strict 50% prio 5 # interactive rate 0kbps ceil 0kbps # interactive srcport 27960,22 dstport 27960,22 # interactive srcip 208.231.90.235 # interactive u32 match ip protocol 1 0xff # interactive u32 match ip tos 0x10 0xff policy dynamic </download> <upload> link speed 32kbps shape 25kbps # user low 5kbps ceil 16kbps strict 50% prio 5 # interactive rate 0kbps ceil 0kbps # interactive srcport 22,27960 dstport 22,27960 # interactive dstip 208.231.90.235 policy dynamic </upload> Co tutaj jest źle ustawione ? jak wpisze niceshaper start to wyskakuje [root@router kk]# niceshaper start Do not use mask with your router IP:10.10.100.1/24 Check your 'do not shape local' directives quit... |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|