Zrób sobie do tego limit połczeń na kazdego userka. p2p ne musisz nikomu blokowac, nic nie zmniaj .Nie zamuli nikomu www. Jak ktoś ma powyżej 500 połączeń z jednego kompa, to trzeba mu trochę utrudnić życie. Dla jego własnego dobra
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| musicie to przeczytac!! http://forum.freesco.pl/viewtopic.php?f=22&t=8862 |
Strona 1 z 2 |
| Autor: | rokefeler [ wtorek, 6 września 2005, 15:19 ] |
| Tytuł: | musicie to przeczytac!! |
Przegladalem forum oraz wiki ale nie znalazlem na tyle przejżystego artykulu azebym potrafil sam dokonac obciecia transferu dla samego p2p( w tej chwili mam p2p zablokowane -firewall Czerwo-dzieki mistrzu-ale klienci mocno sie sprzeciwiaja.Wiec musze im to włączyc ale z minimalnym transferem.Czy może ktoś mi na chłopski rozum wyjasnic to zagadnienie krok po kroku gdyż jestem mocno nie w temacie jezeli chodzi o linuksa oraz samo nnd.Mam zaisnstalowanego niceshapera.i tutaj druga prosba czy moze ktoś wskazal by mi lepszego konfiga.Dodam że mam neo 2 mega i około (docelowo)dwudziestu kilku bałwan jestem.Zamierzam zmienić łacze na 2 mega dsl ale najpierw musze opanowac siec zanim wyłoże 5 baniek miesiecznie(gdyby nie pomoc Czerwo ta siec już nalażałaby do historii)W każdym razie prosze o uwagi do konfiga dla neo.Z góry dzieki za pomoc! do not shape local 80.53.211.226 with 192.168.0.0/24 do not shape local 192.168.0.1 with 192.168.0.0/24 shape router true low 28kbit ceil 240kbit prio 2 stats unit kbit # dump 5c file /var/www/stats/nsstats.txt resolve hostname true method mark reload 4s <download> link speed 2000kbit shape 1900kbit user low 10kbit ceil 260kbit strict 50% prio 5 # interactive rate 0kbps ceil 0kbps # interactive srcport 27960,22 dstport 27960,22 # interactive srcip 208.231.90.235 # interactive u32 match ip protocol 1 0xff # interactive u32 match ip tos 0x10 0xff policy dynamic </download> <upload> link speed 300kbit shape 260kbit user low 5kbit ceil 50kbit strict 50% prio 5 # interactive rate 0kbps ceil 0kbps # interactive srcport 22,27960 dstport 22,27960 # interactive dstip 208.231.90.235 policy dynamic </upload> |
|
| Autor: | oizu [ wtorek, 6 września 2005, 23:37 ] |
| Tytuł: | hmm |
Zrób sobie do tego limit połczeń na kazdego userka. p2p ne musisz nikomu blokowac, nic nie zmniaj .Nie zamuli nikomu www. Jak ktoś ma powyżej 500 połączeń z jednego kompa, to trzeba mu trochę utrudnić życie. Dla jego własnego dobra
|
|
| Autor: | rokefeler [ środa, 7 września 2005, 12:33 ] |
| Tytuł: | |
a czy ten limit zrobilem dobrze czy cos spapralem : 7200" >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established les -A FORWARD -s 192.168.0.1/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit les -t mangle -A FOROWARD -p tcp -m connlimit --connlimit-above 150 -j DROP 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait 320 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack |
|
| Autor: | rokefeler [ czwartek, 8 września 2005, 17:47 ] |
| Tytuł: | |
Dlaczego nikt nie chce mi pomóc? |
|
| Autor: | oizu [ poniedziałek, 12 września 2005, 21:12 ] |
| Tytuł: | |
Cytuj: iptables -t nat -F
iptables -t nat -F PREROUTING iptables -t filter -F iptables -P FORWARD DROP iptables -t nat -N MESSAGES iptables -t nat -I POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t nat -I PREROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t filter -I FORWARD -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.2 -j ACCEPT iptables -t filter -A FORWARD -d 192.168.0.2 -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp -m connlimit --connlimit-above 20 -j DROP iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp -m connlimit --connlimit-above 20 -m ipp2p --ipp2p -j DROP iptables -t filter -A FORWARD -d 192.168.0.2 -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -d 192.168.0.2 -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.2 -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ptables -t filter -A FORWARD -s 192.168.0.3-p tcp -m connlimit --connlimit-above 20 -j DROP iptables -t filter -A FORWARD -s 192.168.0.3 -p tcp -m connlimit --connlimit-above 20 -m ipp2p --ipp2p -j DROP iptables -t filter -A FORWARD -d 192.168.0.3 -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.3 -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -d 192.168.0.3 -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.3 -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ... ....itd Gdzieś to wykopalem , ale jeszcze sprawdze jak to jest u mnie ;- ) Z tego poskladalem i u siebie dałem , jak narazie działa A moze ktoś coś poskłada lepiej 
|
|
| Autor: | Jacq [ poniedziałek, 12 września 2005, 21:49 ] |
| Tytuł: | |
rokefeler pisze: Dlaczego nikt nie chce mi pomóc?
Pewnie byłe nie grzeczny i nie zasłużyłeś
Lajf is brutal 
|
|
| Autor: | rokefeler [ poniedziałek, 12 września 2005, 22:27 ] |
| Tytuł: | |
byłem grzeczny jednak moje rozpaczliwe wolania o pomoc zostaly zignorowane!Dzieki za zwrócenie na moj post uwagi oplacilo sie czekac.Czy nie ma jednakze latwiejszej formy?Przeraza mnie ilosc pisania -juz widze ile zrobie bykow 
|
|
| Autor: | Albercik [ wtorek, 13 września 2005, 00:14 ] |
| Tytuł: | |
wpakuj to gdzieś do np. rc.local: for IP_LIMIT in `cat /etc/niceshaper/users | cut -d " " -f1`;do $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 30 -j DROP $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 20 -m ipp2p --ipp2p -j DROP $i -t filter -A FORWARD -d $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT $i -t filter -A FORWARD -d $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT $i -t filter -A FORWARD -s $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT echo "komp $IP_LIMIT zlimitowany" done |
|
| Autor: | rokefeler [ wtorek, 13 września 2005, 00:50 ] |
| Tytuł: | |
tylko nie padnijcie ze smiechu zrobilem jak mi kazales ale dodalem to do pliku limit ktory juz byl .A teraz powiedzcie co ja narobilem echo "7200">/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established iptables -A FORWARD -s 192.168.0.1/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m conn iptables -t mangle -A FOROWARD -p tcp -m connlimit --connlimit-above 150 -j DROP echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait echo 320 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack for IP_LIMIT in `cat /etc/niceshaper/users | cut -d " " -f1`;do $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 30 -j $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 20 -m $i -t filter -A FORWARD -d $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2 $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2 $i -t filter -A FORWARD -d $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2 $i -t filter -A FORWARD -s $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2 echo "komp $IP_LIMIT zlimitowany" done |
|
| Autor: | rokefeler [ wtorek, 13 września 2005, 00:52 ] |
| Tytuł: | |
tylko nie padnijcie ze smiechu zrobilem jak mi kazales ale dodalem to do pliku limit ktory juz byl .A teraz powiedzcie co ja narobilem echo "7200">/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established iptables -A FORWARD -s 192.168.0.1/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m conn iptables -t mangle -A FOROWARD -p tcp -m connlimit --connlimit-above 150 -j DROP echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait echo 320 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack for IP_LIMIT in `cat /etc/niceshaper/users | cut -d " " -f1`;do $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 30 -j $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 20 -m $i -t filter -A FORWARD -d $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2 $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2 $i -t filter -A FORWARD -d $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2 $i -t filter -A FORWARD -s $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2 echo "komp $IP_LIMIT zlimitowany" done |
|
| Autor: | oizu [ wtorek, 13 września 2005, 15:04 ] |
| Tytuł: | |
Cytuj: echo "7200">/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established iptables -A FORWARD -s 192.168.0.1/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m conn iptables -t mangle -A FOROWARD -p tcp -m connlimit --connlimit-above 150 -j DROP echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait echo 320 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack no ja tego w pisu nie mam. A tak przy okazji czy ktoś przetłumaczył by procedurki : p_conntrack_generic_timeout ip_conntrack_icmp_timeout ip_conntrack_tcp_timeout_close ip_conntrack_tcp_timeout_close_wait ip_conntrack_tcp_timeout_established ip_conntrack_tcp_timeout_fin_wait ip_conntrack_tcp_timeout_last_ack mozna sie domyśleć ale... moze ktoś wie co dokładnie do czego.... A! Cytuj: for IP_LIMIT in `cat /etc/niceshaper/users | cut -d " " -f1`;do
W ten sposób zapodasz taki sam limit dla wszystkich. Czytajac sobie ludków /etc/niceshaper/users Ja potrzebowalem dla kilku osób zwiekszyć, a dla kilku zmniejszyć (p2p) Wiec zamiast #IP_LIMIT zapodalem normalnie konkretne IP i zminilem odpowiedni odpowiednim userom lmit. Tak jak w/w
|
|
| Autor: | Koriolan [ wtorek, 13 września 2005, 16:46 ] |
| Tytuł: | |
oizu pisze: ... moze ktoś wie co dokładnie do czego.... Google widzą 'wszystko'
Ale coby nie wyjść na złośliwca to : ip_conntrack_tcp_timeout_established - to czas od ostatniego 'pakietu' po jakim conntrack uznaje, że łacze nie jest już 'aktywne'. Jego wielkość to czas 'podtrzymania' sesji ale tez obciązenie dla tablic conn... przy zrywających się połaczeniach. |
|
| Autor: | rokefeler [ wtorek, 13 września 2005, 17:32 ] |
| Tytuł: | |
Albercik pisze: wpakuj to gdzieś do np. rc.local:
for IP_LIMIT in `cat /etc/niceshaper/users | cut -d " " -f1`;do $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 30 -j DROP $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m connlimit --connlimit-above 20 -m ipp2p --ipp2p -j DROP $i -t filter -A FORWARD -d $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT $i -t filter -A FORWARD -s $IP_LIMIT -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT $i -t filter -A FORWARD -d $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT $i -t filter -A FORWARD -s $IP_LIMIT -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT echo "komp $IP_LIMIT zlimitowany" done jak robie sam ten wpis w pliku limit to mi sie necik zatrzymuje chwilami nawet przy otwieraniu stron.Za małe wartosci liczby połaczen???Czy moze sprzecik mnie daje rady? |
|
| Autor: | rokefeler [ wtorek, 13 września 2005, 18:24 ] |
| Tytuł: | |
./limit: line 2: -t: command not found ./limit: line 3: -t: command not found ./limit: line 4: -t: command not found ./limit: line 5: -t: command not found ./limit: line 6: -t: command not found ./limit: line 7: -t: command not found komp 192.168.0.1 zlimitowany ./limit: line 2: -t: command not found ./limit: line 3: -t: command not found ./limit: line 4: -t: command not found ./limit: line 5: -t: command not found ./limit: line 6: -t: command not found ./limit: line 7: -t: command not found komp 192.168.0.2 zlimitowany ./limit: line 2: -t: command not found ./limit: line 3: -t: command not found ./limit: line 4: -t: command not found ./limit: line 5: -t: command not found ./limit: line 6: -t: command not found ./limit: line 7: -t: command not found i takie cos wyrzuca |
|
| Autor: | oizu [ wtorek, 13 września 2005, 19:26 ] |
| Tytuł: | |
a masz w /etc/niceshaper/users wpisaneych userków komp 192.168.0.1 - serva nie powinno limitowac- jakies dziwactwa :-)
spróbu zapodać tak jak podalem w tym pliku ./limit: Cytuj: #!/bin/bash
./etc/rc.conf iptables -t nat -F iptables -t nat -F PREROUTING iptables -t filter -F iptables -P FORWARD DROP iptables -t nat -N MESSAGES iptables -t nat -I POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t nat -I PREROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t filter -I FORWARD -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.2 -j ACCEPT iptables -t filter -A FORWARD -d 192.168.0.2 -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp -m connlimit --connlimit-above 20 -j DROP iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp -m connlimit --connlimit-above 20 -m ipp2p --ipp2p -j DROP iptables -t filter -A FORWARD -d 192.168.0.2 -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -d 192.168.0.2 -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.2 -p udp -m limit --limit 6/s -m ipp2p --ipp2p -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ptables -t filter -A FORWARD -s 192.168.0.3-p tcp -m connlimit --connlimit-above 30 -j DROP iptables -t filter -A FORWARD -s 192.168.0.3 -p tcp -m connlimit --connlimit-above 30 -m ipp2p --ipp2p -j DROP iptables -t filter -A FORWARD -d 192.168.0.3 -p tcp -m limit --limit 10/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.3 -p tcp -m limit --limit 10/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -d 192.168.0.3 -p udp -m limit --limit 10/s -m ipp2p --ipp2p -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.3 -p udp -m limit --limit 10/s -m ipp2p --ipp2p -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ..... .. itd analogicznie No, tylko troszke wiecej w klejania Ale za to tak jak mowilem mozna kazdemu inny limit zapodać
|
|
| Autor: | Anonymous [ piątek, 16 września 2005, 12:06 ] |
| Tytuł: | |
rokefeler pisze: ./limit: line 2: -t: command not found
./limit: line 3: -t: command not found ./limit: line 4: -t: command not found ./limit: line 5: -t: command not found ./limit: line 6: -t: command not found ./limit: line 7: -t: command not found komp 192.168.0.1 zlimitowany ./limit: line 2: -t: command not found ./limit: line 3: -t: command not found ./limit: line 4: -t: command not found ./limit: line 5: -t: command not found ./limit: line 6: -t: command not found ./limit: line 7: -t: command not found komp 192.168.0.2 zlimitowany ./limit: line 2: -t: command not found ./limit: line 3: -t: command not found ./limit: line 4: -t: command not found ./limit: line 5: -t: command not found ./limit: line 6: -t: command not found ./limit: line 7: -t: command not found i takie cos wyrzuca wyrzuca takie coś bo masz napisane $i jakbyś dał na początku tego skryptu: i=`iptables` to by był luz, albo wszędzie gdzie masz $i wpisz iptables |
|
| Autor: | Albercik [ piątek, 16 września 2005, 20:56 ] |
| Tytuł: | |
widget pisze: rokefeler pisze: ./limit: line 2: -t: command not found ..... . . . ../limit: line 7: -t: command not found i takie cos wyrzuca wyrzuca takie coś bo masz napisane $i jakbyś dał na początku tego skryptu: i=`iptables` to by był luz, albo wszędzie gdzie masz $i wpisz iptables lepiej |
|
| Autor: | Anonymous [ piątek, 16 września 2005, 21:08 ] |
| Tytuł: | |
Albercik pisze: lepiej
to raczej jest zbędne wszystko jedno czy odpalisz iptables z komendy iptables (czyli tak jak ja napisałem) czy z tej komendy co Ty napisałeś, co w sumie da wynik /usr/sbin/iptables czyli /usr/sbin/iptables....to jest bez różnicy |
|
| Autor: | rokefeler [ wtorek, 27 września 2005, 01:30 ] |
| Tytuł: | |
oizu po twoim skrypcie napisalo mi ze ./etc/rc.conf nie istnieje i zablokowalo dostep do serwera przez putty!!! |
|
| Autor: | zciech [ wtorek, 27 września 2005, 05:30 ] |
| Tytuł: | |
Bo ./etc/rc.conf NIE ISTNIEJE Powinno byc: .ODSTĘP/etc/rc.conf |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|