Freesco, NND, CDN, EOS
http://forum.freesco.pl/

ograniczenie ilosci polaczen
http://forum.freesco.pl/viewtopic.php?f=22&t=5283		 Strona 1 z 8
Autor:  Anonymous [ wtorek, 31 sierpnia 2004, 23:14 ]
Tytuł:  ograniczenie ilosci polaczen
witam,
za pomoca HTB potrafie juz ograniczyc maksymalny transfer
danemu uzytkownikowi, teraz chcialbym ustawic maksymalna ilosc
polaczen jakie dany uzytkownik moze nawiazac.

czy robi sie to rowniez poprzez HTB,
czy sa do tego jakies inne narzedzia?

dzieki i pozdrawiam
Autor:  Albercik [ wtorek, 31 sierpnia 2004, 23:35 ]
Tytuł: 
: [/] [] ()
iptables -t filter -A FORWARD -s 192.168.1.10/24 -o eth1 -p tcp -m mark \
  --mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
  -j REJECT --reject-with tcp-reset
GeSHi © Codebox Plus


Nie wiem czyto zadziała - ale NNd przyjął bez jęknięcia
Autor:  Anonymous [ środa, 1 września 2004, 00:25 ]
Tytuł: 
a jak mozna sprawdzic czy to dziala?
jakis program na stacji kliencikiej, ktory by wyswietlil komunikat,
ze nie moze wiecej sie laczyc ...
Autor:  prg080 [ środa, 1 września 2004, 13:41 ]
Tytuł: 
Np. komenda:
netstat-nat -n
Autor:  jarekjarek [ środa, 1 września 2004, 14:11 ]
Tytuł: 
moze by tak ktos napisal gdzie ten wpis umiescic ( w ktory plik wpisac), czy działa i jak to zrobic na konkretnego usera bo jakos nie widze tu pojedynczego IP co prawda nie znam sie za bardzo na linuxie ale to by sie przydalo na sciagaczy i zainfekowanych wirusami
_________________
Autor:  Anonymous [ środa, 1 września 2004, 14:36 ]
Tytuł: 
mozesz to wpisac gdzie chcesz. np do rc.firewall
albo utworzyc oddzielny plik i wrzucic go do rc.router
Cytuj:
iptables -t filter -A FORWARD -s 192.168.1.10/24 -o eth1 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset


rozumiem, ze parametr -s (source) odpowiada za to, ktoremu uzytkownikowi mamy ograniczyc ilosc polaczen,
czyli np mozemy wpisac -s 192.168.1.3 ?? tak?

-m connlimit --connlimit-above 300 to maksymalna ilosci polaczen??

mam jeszcze pytanie: po co jest -m mark --mark 0x0 ?
i co daje parametr --connlimit-mask 32
i jakie sa jeszcze inne parametry dla REJECT oprocz --reject-with tcp-reset,
dlaczego akurat taki parametr REJECT?

ps. jaka jest sensowna maksymalna ilosc wszystkich polaczen dla laczy typu neostrada, iDSL?
Autor:  jarekjarek [ środa, 1 września 2004, 14:54 ]
Tytuł: 
wpisalem to i nic nie działa akurat jeden w sasiedniej sieci ma saserka generuje prawie 5000 polonczen to nic mu nie ogranicza mam statystyki zciecha pokazuje ilosc polonczen
Autor:  Albercik [ środa, 1 września 2004, 14:57 ]
Tytuł: 
Cytuj:
rozumiem, ze parametr -s (source) odpowiada za to, ktoremu uzytkownikowi mamy ograniczyc ilosc polaczen,
czyli np mozemy wpisac -s 192.168.1.3 ?? tak?


tak

Cytuj:
-m connlimit --connlimit-above 300 to maksymalna ilosci polaczen??


Cytuj:
mam jeszcze pytanie: po co jest -m mark --mark 0x0 ?


tutaj należy wpisac odpowiedni mark jaki jest podpięty do danego IPka

Cytuj:
i co daje parametr --connlimit-mask 32
i jakie sa jeszcze inne parametry dla REJECT oprocz --reject-with tcp-reset,
dlaczego akurat taki parametr REJECT?


tego Ci nie powiem ... bo nie wiem :cry: , ale zrobiłem to raz dla całej sieci i zadziałało - znalazłem te parametry przy innej pkazji , okazały się skuteczne tutaj :wink:

Cytuj:
ps. jaka jest sensowna maksymalna ilosc wszystkich polaczen dla laczy typu neostrada, iDSL?


nie od łącza to zależy ale od routera - ponoć speedstream dla DSL może do300 połączeń aktywnych obsłużyć - ja miałem na nim grubo powżej 3000 i nie działo się nic złego z netem
Autor:  jarekjarek [ środa, 1 września 2004, 15:05 ]
Tytuł: 
kurcze ludzie jaki mark wpisac jak to sprawdzic jaki ma mark podpiety do ipka
Autor:  Anonymous [ środa, 1 września 2004, 15:09 ]
Tytuł: 
Albercik pisze:
Cytuj:
mam jeszcze pytanie: po co jest -m mark --mark 0x0 ?

tutaj należy wpisac odpowiedni mark jaki jest podpięty do danego IPka

skad mam wziac ten mark?
przeciez wczesniej nie byl definiowany?
Autor:  zciech [ środa, 1 września 2004, 15:24 ]
Tytuł: 
iptables -I FORWARD -s $IP -p tcp -m connlimit --connlimit-above 300 -j DROP
Autor:  gg123456 [ środa, 1 września 2004, 19:28 ]
Tytuł: 
Albercik pisze:
: [/] [] ()
iptables -t filter -A FORWARD -s 192.168.1.10/24 -o eth1 -p tcp -m mark \
  --mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
  -j REJECT --reject-with tcp-reset
GeSHi © Codebox Plus


a nie powinno byc dla calej sieci:
: [/] [] ()
iptables -t filter -A FORWARD -s [color=red]192.168.1.0/24[/color] -o eth1 -p tcp -m mark \
  --mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
  -j REJECT --reject-with tcp-reset
GeSHi © Codebox Plus

a dla konkretnego usera:
: [/] [] ()
iptables -t filter -A FORWARD -s [color=red]192.168.1.3[/color] -o eth1 -p tcp -m mark \
  --mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
  -j REJECT --reject-with tcp-reset
GeSHi © Codebox Plus


:?:
Autor:  Albercik [ środa, 1 września 2004, 20:16 ]
Tytuł: 
Cytuj:
a nie powinno byc dla calej sieci (...)



raczej tak :


iptables -t filter -A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset


Cytuj:
a dla konkretnego usera:


hmmmm ... nie widzę różnicy między moim a twoim....
Autor:  prg080 [ środa, 1 września 2004, 20:47 ]
Tytuł: 
Ja mam:
iptables -I FORWARD -p tcp -o eth0 --dport 1024:65535 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
i dziala.
Autor:  Anonymous [ środa, 1 września 2004, 21:02 ]
Tytuł: 
a dlaczego -o eth0, a nie -o ppp0
i jeszcze czym sie jeszcze rozni
-j REJECT --reject-with tcp-reset
od
-j DROP

dzieki
Autor:  gg123456 [ środa, 1 września 2004, 21:03 ]
Tytuł: 
Albercik pisze:
iptables -t filter -A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset


to zalezy jakie kto ma polaczenie. Dla SDI - eth0.
Autor:  gg123456 [ środa, 1 września 2004, 21:06 ]
Tytuł: 
monster pisze:
a dlaczego -o eth0, a nie -o ppp0


to zalezy. Ograniczenie dotyczy interfejsu wychodzacego. Jesli ograniczysz ppp0, to bedziesz mial limit na dane z sieci do netu, a jesli eth0, to bedziesz mial limit na dane z netu do sieci.
Autor:  Anonymous [ środa, 1 września 2004, 21:12 ]
Tytuł: 
ja wiem, ze -o to output. u mnie siec dziala na eth1,
ppp0 to wirtualny interfejs na eth0.
w ustawieniach htb wszedzie jest ppp0, a nie eth0,
wiec chcialbym sie dowiedziec, czemu tutaj akurat eth0, a nie ppp0
Autor:  gg123456 [ środa, 1 września 2004, 21:27 ]
Tytuł: 
nie wiem. U mnie nie ma takiej sytuacji. Sprobuj i tak, i tak, to zabaczymy co jest lepsze :)
Autor:  prg080 [ czwartek, 2 września 2004, 07:03 ]
Tytuł: 
Zapomialem dodac, ze to jest dsl czyli eth0 jest do netu. Dziala na kazdego usera oddzielnie, czyli kazdy ma max. tyle mozliwych polaczen itd.
Na wirusiki np. sasseropodobne, dac na forwardzie blokade wybranych portow + logowanie "martiansow" i widac w logach do kogo trzeba isc z pałą :lol:
Strona 1 z 8 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/