| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Kontrolowanie liczby połączeń http://forum.freesco.pl/viewtopic.php?f=24&t=7539 |
Strona 1 z 1 |
| Autor: | Anonymous [ czwartek, 28 kwietnia 2005, 18:11 ] |
| Tytuł: | Kontrolowanie liczby połączeń |
1. Jak w NND kontrolować liczbę połączeń tcp/udp, tak aby konkretny komp w mojej sieci nie mógł nawiązać jednocześnie np. 2000 połączeń, a tylko tyle ile mi się widzi (czyli np. 100) ? 2. Jak spowodować żeby połączenia nie wisiały tydzień czasu, pomimo iż komputer, który je nawiązał jest już daaaawno wyłączony? Mam. DSL@1MB i NND/styczeń 2005 + niceshaper + statystyki zciecha + MLdonkey + named (do keszowania nazw DNS). Wszystko pięknie hula od miesiąca i nie bałwan jestem żeby się zatkało przez takie małe niedopatrzenie... (i z pomocą przerośniętych osiołków) |
|
| Autor: | zciech [ czwartek, 28 kwietnia 2005, 20:30 ] |
| Tytuł: | |
echo "7200" >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established iptables -A FORWARD -s 192.168.0.1/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 200 --connlimit-mask 32 -j DROP |
|
| Autor: | Anonymous [ czwartek, 28 kwietnia 2005, 21:24 ] |
| Tytuł: | |
Choć jeszcze nie zdšżyłem tego wcielić w życie (a i procesy myślowe potrzebne do przeprowadzenia analizy informatycznej trochę potrwają w moim mózgu) pragnę serdecznie podziękować za błyskawiczną odpowiedź, a w zamian obiecuję pomóc drugiej osobie z forum w potrzebie o ile - ma się rozumieć - rozumu starczy... i myślenie mnie nie zabije 
|
|
| Autor: | Anonymous [ czwartek, 28 kwietnia 2005, 22:46 ] |
| Tytuł: | |
No już obadałem pierwszą linijkę... w tym pliku było wpisane 432000 (sekund?)... co daje równo 5 dni dla połączeń typu ESTABILISHED... czy wpisanie 7200 oznacza, że nawet jak to połączenie będzie INTENSYWNIE wykorzystywane TO i TAK zostanie zerwane przez serwer po 2 godzinach??? |
|
| Autor: | zciech [ czwartek, 28 kwietnia 2005, 22:50 ] |
| Tytuł: | |
Nie, sprawe to wyjasnialem juz tu na forum w jakims wątku. Kazdy przeslany pakiet powoduje ponowne "ustawienie licznika" Tak na dobra sprawę to zapis w conntrack nie jest potrzebny przy wysyłaniu pakietu, ale przy odbieraniu, zeby maszyna maskująca (router z maskarada) wiedziala gdzie przeslac pakiet do jakiego klienta (nalezy rozumiec ze powinien on byc skierowany do kompa, który pakiet "zamówił" a nie do jakiegos innego). Jesli pakiet taki przyjdzie po 5 dniach !! od "ostatniego zamówienia" to trafi do /dev/null |
|
| Autor: | Anonymous [ czwartek, 28 kwietnia 2005, 23:22 ] |
| Tytuł: | |
Skoro tak, to nie widzę powodu aby trzymać informację o połączeniu nawet te 2 godziny od przesłania ostatniego pakietu. U mnie na starym (pierwszym) serwerze z FreeSCO (drugie łącze DSL) w /rc/rc_masq jest wpisane: Cytuj: ipfwadm -M -s 720 10 60 # Timeouts TCP, after TCP, UDP i wszystko działa bezproblemowo już ponad rok.
Tylko ostatnio zaczęło się coś dziać dziwnego - zrywało połączenie na 20 minut dwa razy dziennie w związku z czym dzisiaj zadzwoniłem do TePSY w wyniku czego zaktualizowany został firmware w modemie i ponoć to ma pomóc. Przy okazji dowiedziałem się, że ichni modem obsługuje do 2500 połączeń. Co za ciekawy zbieg okoliczności, bo w Pana statystykach odbywa się logowanie do pliku po przekroczeniu właśnie 2500 połączeń. Czyżby telekomunikacja także miała załączone śledzenie połączeń/IP i blokowanie po przekroczeniu limitu ?? A może to tylko - jak pisałem - czysty zbieg okoliczności... Panie ZCiech - wielkie dzięki za wyjaśnienia i za ogromny dydaktyczny wkład na łamach forum (i reszty internetu). Gorąco pozdrawiam!!! |
|
| Autor: | ernidok [ środa, 18 stycznia 2006, 21:40 ] |
| Tytuł: | |
czy linijke z connlimit moge wpisac zaraz po echo, czy jest konkretne miejsce w którym to ma być. mam standardowego firewala i tak go edytuje. pozdrawiam. |
|
| Autor: | adamol [ czwartek, 19 stycznia 2006, 01:23 ] |
| Tytuł: | |
Jak dla mnie to można cały zapis umieścić w rc.local i powinien działać - proszę o sprostowanie jeżeli się mylę 
Można również regułkę z iptables umieścić w pliku firewalla, kwestia jeszcze czy jest u ciebie plik iptables.rules. |
|
| Autor: | ernidok [ czwartek, 19 stycznia 2006, 22:03 ] |
| Tytuł: | |
tak jak napisałem mam standardowego firewalla czyli /etc/iptables/*firewall. chcę zrobić ograniczenie połączeń do 80 dla każdego usera, bo mi radio zapycha. chyba powinno wystarczyć. a czy ograniczanie połączeń powoduje spowalnianie łącza u usera tak jak niceshaper. bo jak user zapcha sobie upload to mu troszke słabo to działa. nie krytykuje niceshapera bo jestem z niego bardzo zadowolony. chyba będe stawiał firewalla czerwa, tak go wszyscy zachwalają, ale musze sobie przetrenować na jakiejś maszynie innej, bo sie nie znam za bardzo na iptables. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|