Freesco, NND, CDN, EOS

witam,
za pomoca HTB potrafie juz ograniczyc maksymalny transfer
danemu uzytkownikowi, teraz chcialbym ustawic maksymalna ilosc
polaczen jakie dany uzytkownik moze nawiazac.

czy robi sie to rowniez poprzez HTB,
czy sa do tego jakies inne narzedzia?

dzieki i pozdrawiam

Nie wiem czyto zadziała - ale NNd przyjął bez jęknięcia

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

a jak mozna sprawdzic czy to dziala?
jakis program na stacji kliencikiej, ktory by wyswietlil komunikat,
ze nie moze wiecej sie laczyc ...

Np. komenda:
netstat-nat -n

moze by tak ktos napisal gdzie ten wpis umiescic ( w ktory plik wpisac), czy działa i jak to zrobic na konkretnego usera bo jakos nie widze tu pojedynczego IP co prawda nie znam sie za bardzo na linuxie ale to by sie przydalo na sciagaczy i zainfekowanych wirusami
_________________

_________________
Jarek

mozesz to wpisac gdzie chcesz. np do rc.firewall
albo utworzyc oddzielny plik i wrzucic go do rc.router


rozumiem, ze parametr -s (source) odpowiada za to, ktoremu uzytkownikowi mamy ograniczyc ilosc polaczen,
czyli np mozemy wpisac -s 192.168.1.3 ?? tak?

-m connlimit --connlimit-above 300 to maksymalna ilosci polaczen??

mam jeszcze pytanie: po co jest -m mark --mark 0x0 ?
i co daje parametr --connlimit-mask 32
i jakie sa jeszcze inne parametry dla REJECT oprocz --reject-with tcp-reset,
dlaczego akurat taki parametr REJECT?

ps. jaka jest sensowna maksymalna ilosc wszystkich polaczen dla laczy typu neostrada, iDSL?

wpisalem to i nic nie działa akurat jeden w sasiedniej sieci ma saserka generuje prawie 5000 polonczen to nic mu nie ogranicza mam statystyki zciecha pokazuje ilosc polonczen

_________________
Jarek

tak





tutaj należy wpisac odpowiedni mark jaki jest podpięty do danego IPka



tego Ci nie powiem ... bo nie wiem , ale zrobiłem to raz dla całej sieci i zadziałało - znalazłem te parametry przy innej pkazji , okazały się skuteczne tutaj



nie od łącza to zależy ale od routera - ponoć speedstream dla DSL może do300 połączeń aktywnych obsłużyć - ja miałem na nim grubo powżej 3000 i nie działo się nic złego z netem

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

kurcze ludzie jaki mark wpisac jak to sprawdzic jaki ma mark podpiety do ipka

_________________
Jarek

skad mam wziac ten mark?
przeciez wczesniej nie byl definiowany?

iptables -I FORWARD -s $IP -p tcp -m connlimit --connlimit-above 300 -j DROP

a nie powinno byc dla calej sieci:

a dla konkretnego usera:

_________________
GG

raczej tak :


iptables -t filter -A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset




hmmmm ... nie widzę różnicy między moim a twoim....

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Ja mam:
iptables -I FORWARD -p tcp -o eth0 --dport 1024:65535 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
i dziala.

a dlaczego -o eth0, a nie -o ppp0
i jeszcze czym sie jeszcze rozni
-j REJECT --reject-with tcp-reset
od
-j DROP

dzieki

to zalezy jakie kto ma polaczenie. Dla SDI - eth0.

_________________
GG

to zalezy. Ograniczenie dotyczy interfejsu wychodzacego. Jesli ograniczysz ppp0, to bedziesz mial limit na dane z sieci do netu, a jesli eth0, to bedziesz mial limit na dane z netu do sieci.

_________________
GG

ja wiem, ze -o to output. u mnie siec dziala na eth1,
ppp0 to wirtualny interfejs na eth0.
w ustawieniach htb wszedzie jest ppp0, a nie eth0,
wiec chcialbym sie dowiedziec, czemu tutaj akurat eth0, a nie ppp0

nie wiem. U mnie nie ma takiej sytuacji. Sprobuj i tak, i tak, to zabaczymy co jest lepsze

_________________
GG

Zapomialem dodac, ze to jest dsl czyli eth0 jest do netu. Dziala na kazdego usera oddzielnie, czyli kazdy ma max. tyle mozliwych polaczen itd.
Na wirusiki np. sasseropodobne, dac na forwardzie blokade wybranych portow + logowanie "martiansow" i widac w logach do kogo trzeba isc z pałą