Freesco, NND, CDN, EOS

koriolan nie bardzo wiem o co ci chodzi

A co do pingow to podalem tylko po to zeby pokazac jak obciazenie wplywa na jakosc lacza.

aha i kto tu mowi o starym NND ? przeciez temat jest o nowym.

a co z portami UDP. Po zastosowaniu formuły ZCiecha mam ładnie przycięte porty TCP, ale staty nadal pokazują po 500 i więcej otwartych połączeń UDP?

nie tylko ty masz ten problem - jedyna bolaczka routera to polaczenia udp - wszystko inne dograne na ostatni guzik.

nie mam mocnych na to

a probowaliscie:

iptables -I FORWARD -s $IP -p udp -m connlimit --connlimit-above 300 -j DROP

Chciałby troche odnowic temat.

Jak jest z tymi porami udp i czy ktoś sobie ostatecznie poradził?
(stare nnd)

skasowane

A co uważasz o ograniczeniu inrefejsu eth1 (np.192.168.1.1 łączacy serwerz z lan) czy lepiej stosować dla każdego usera osobno.
A cha.
I gdzie to dołozyc żeby startowało po restarcie ?

skasowane

troche pomotane toz iloscia polaczen hehe ja narazie robie tylko limit transferu ale wlasnie to z polaczeniami tez kiedys musze zrobic

_________________
wielki come back

Connlimit sam rozroznia ip i nie trzeba dawac regulek na kazdego kompa.

Czy dobrze rozumiem, ze ten zapis powinien przyciąć ilośc połaczeń do 30 ? jeśli tak to nie działa - bo gość ma ponad 100 pomimo wpisania tego - Nowe NND, ilość połęćzeń ESTABILISHED

nie mam o tym pojęcia ale 20/s oznacza chyba prędkość, więc w ciągu sekundy nawiąże max 20 więc po 6 sekundach może mieć już 100

IMHO w tym wypadku (-I w iptables) to raczej najpierw ograniczy xxx.2 do 30 polaczen, pozniej to co przejdzie ograniczy do 20 pakietow tcp na sekunde, reszta DROP.
Dla udp podobnie (bez connlimit).

Troche dziwne regulki ale to juz sprawa autora

Jesli user otwiera duzo polaczen w krotkim czasie connlimit moze nie nadazac z zamykaniem, takze takiej sztywnej liczby established to sie nie spodziewaj.

cenzura

Z portami UDP jeszcze nie testowałem...
W mojej konfiguracj iptables.rules dodałem taki wpis, zgodnie z tym co podawał Zciech:



narazie to testuję ale chyba działa.
Chciałem się zapytać jednak o takowy wpis w tym samym pliku:


Dokłądanie chodzi o ten fragment:
-A FORWARD -p tcp -m connlimit --connlimit-above 40 --connlimit-mask 32 -j DROP
Jak zmieniałem wartość above 40 na mniejszą np above 4:D to przy działąjącym eMule nie otwierało stronek www
Czego dokładnie on się tyczy
czy jest to może globalne ograniczenie liczby połaczeń:?:
i czy nie gryzie się w jakis sposób z tym co wpisałem wcześniej czyli:
-A FORWARD -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 200 --connlimit-mask 32 -j DROP

Pozdro
Adam

_________________
Symetryk światło, CDN2 3.1.4-4-ARCH i686 AMD E-350 Processor AuthenticAMD & kilku użyszkodników

Mam taki skrypcik który sprawdza z podanego ip ile sie nawiązuje połączeń - generalnie fajna rzecz

#! /bin/sh
ip=192.168.14.3
plik=test.all
cat /proc/net/ip_conntrack |grep $ip >$plik
echo 'wszystkie polaczenie tcp/udp' $ip
cat $plik | grep $ip | wc -|
echo 'wszystkie polaczenia TCP'
cat $plik | grep tcp | grep $ip | wc -|
echo 'wszystkie polaczenia TCP oczekujace'
cat $plik | grep tcp | grep $ip | grep TIME_ | wc -|
echo 'wszystkie polaczenia TCP nawiazyjace polaczenia'
cat $plik | grep tcp | grep $ip | grep SYN_ | wc -|
echo 'wszystkie polaczenia TCP aktywne'
cat $plik | grep tcp | grep $ip | grep ESTABLISHED | wc -|
echo 'wszystkie polaczenia UDP'
cat $plik | grep udp | grep $ip | wc-|

zapodaje wynik do pliku test.all jak widać w środku aktualne połączenia z danego ip
Przydatna rzecz generalnie co do limitów połączeń wystarczy dać

iptables -A FORWARD -p tcp -m connlimit --connlimit-above 200 -j DROP
nie dam głowy za to bo to tak pisane z marszu.
Dodatkowo można zainteresować się dodatkowo ipp2p bo to fajna rzecz można przyciąć Kaazopodobne dość skutecznie najlepiej mieć najnowszą lub dość nową wersje.
Wskazane jest także zapodać te parametry http://www.wiki.nnd.freesco.pl/index.ph ... izacja_NND mają bardzo duże znaczenie.
Z tego co wiem to connlimit nie ogranicza udp tylko tcp ale generalnie nie zauważyłem w swojej sieci problemu z udp z przycinaniem połączeń trzeba uwazać bo emule nieza ciekawie idzie poniżej 100 a minimum to jakieś chyba 30 bo jak mniej to gg się będzie rozłączać standardowo radze zapodać 300..

Tak też myślałem że taki wpis jest wystarczający:

Z tym 40 to przesadziłem, 200-300 (max) będzie OK, zależy jeszcze na ile i jakich użytkowników, bardzo indywidualna sprawa uważam, ale przy zbyt małej wartości to już miałem pretensje że www się nie ładują
A co do tych wartości:

ktoś to testował, nie są zbyt rygorystyczne
Sam zaraz to zapodam i podzielę się wrażeniami.......
.....
OK już mam, tylko jest problem: po restarcie firewalla lub całkowitym reboocie powracają poprzednie wartości.
Wpisywałem to do pliku /etc/iptables/firewall i nie działa..tzn nie zmienia tego co powinno.
Po wpisaniu do /etc/iptables/iptables.rules wogóle nie chciało uruchomić na nowo firewalla
Zrobiłem nowy plik z tymi poleceniami...tzn:

i po jego odpaleniu zmienia wartości w /ipv4/netfilter ale po reboocie znowu są te stare...
Gdzie wrzucić odwołanie do skryptu żeby ładował się razem z firewallem

Pozdro

_________________
Symetryk światło, CDN2 3.1.4-4-ARCH i686 AMD E-350 Processor AuthenticAMD & kilku użyszkodników

wpisz ścieżkę do pliku w /etc/rc.d/rc.local i będzie startował razem z systemem.

U mnie jeden gostek ciągnął sporo poza limit, np. 38 KB/s zamiast 25KB/s włąśnie po UDP,
Próbowałem się z nim dogadać; czym ciągnie ile by chciał i takie tam.. ale nic nie odpowiadał
Poradziłem sobie chociaż skonczyło się na :

Po czyms takim sprawdzam od czasu do czasu ile ciągnie ale trzyma się w limitach TCP

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator