Freesco, NND, CDN, EOS • Wyświetl temat - Skuteczny sposób na ograniczenie ilości połączeń

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Skuteczny sposób na ograniczenie ilości połączeń

Moderatorzy: tasiorek, JakubC, Mis'

Strona 1 z 2

[ Posty: 27 ]

Przejdź na stronę 1, 2 Następna

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

Albercik

Tytuł: Skuteczny sposób na ograniczenie ilości połączeń

: piątek, 5 stycznia 2007, 21:14

PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780

Jak w temacie: zna ktoś skuteczny sposób na ograniczenie ilości połączeń? Zabawa w limitowanie regułkami iptables w ogóle nie skutkuje. Zastanawiam się jak ograniczyć czas trzymania połączeń tcp oczekujących . Połaczeń udp oczywiście nie da się limitować z wiadomych powodów, można tylko limitować ilość połączeń na sekundę/minutę/godzinę .

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie

Szybkie kobiety i piękne samochody

Na górę

luki_nowy

Tytuł:

: piątek, 5 stycznia 2007, 21:35

Użytkownik

Rejestracja: niedziela, 16 kwietnia 2006, 01:41
Posty: 200

dołacze sie do tematu przydalo by sie skuteczne ograniczanie ilosci polaczen

Na górę

Albercik

Tytuł:

: piątek, 5 stycznia 2007, 22:59

PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780

W sumie to jest skuteczny sposób, nawet bardzo skuteczny : skrypt sprawdza ilość połączeń i jeżeli przekroczy zadaną liczbę przekierowuje delikwenta na stronę info , na której widnieje komunikat typu

"masz zbyt wiele otwartych połączeń. Masz trojana lub zbyt dużo połączeń w programie p2p"

lub coś w tym stylu. Tak być oczywiście nie powinno, bo wiadomo - user może ze swoim pasmem robić co chce, ale to już chyba niemoc administratora

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie

Szybkie kobiety i piękne samochody

Na górę

czuczu

Tytuł:

: piątek, 5 stycznia 2007, 23:50

Rejestracja: wtorek, 6 grudnia 2005, 20:00
Posty: 52

Albercik pisze:

"masz zbyt wiele otwartych połączeń. Masz trojana lub zbyt dużo połączeń w programie p2p"

to by było dobre wiesz jak to robic? bo jak sie ustali polaczenia za pomocna iptables to troche ogranicza ale na pewn nie do tej ilosci jaka przypisalismy pozdrawiam

_________________
Jestem za leniwy, żeby zauważyć nieaktualność mojej sygnaturki.

Na górę

Albercik

Tytuł:

: sobota, 6 stycznia 2007, 00:26

PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780

czuczu pisze:

Albercik pisze:

"masz zbyt wiele otwartych połączeń. Masz trojana lub zbyt dużo połączeń w programie p2p"

to by było dobre wiesz jak to robic? bo jak sie ustali polaczenia za pomocna iptables to troche ogranicza ale na pewn nie do tej ilosci jaka przypisalismy pozdrawiam

Już coś podobnego ostatnio zapodałem na forum, wystarczy dopisać tylko jedną linię :

: [/] [] ()

#!/bin/bash
hosty=`cat /etc/cron.10min/ip`
for x in $hosty ; do
il_pol=`cat /proc/net/ip_conntrack | grep -w "$x" | wc -l`
if [ $il_pol -gt 100 ]
then
echo "" >> /var/log/del_polaczenia.log
date >> /var/log/del_polaczenia.log
date >> /var/log/del_pol_ilosc.log
echo "$x $il_pol" >> /var/log/del_pol_ilosc.log
/usr/sbin/clr_conns $x >> /var/log/del_polaczenia.log
/sbin/iptables -t nat -A PREROUTING -p tcp -s $x -j REDIRECT --to-port 84 #port na którym jest jakiś komunikat
fi
done

GeSHi © Codebox Plus

trzeba tylko w skrypcie jeszcze umieścić jakieś czasowe, np po 1 min usunięcie strony i odblokowanie netu, albo jak w tablicy ogłoszeń dac przycisk do odblokowania. Trzeba to porządnie przemyśleć , bo to tak na prędce jest napisane.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie

Szybkie kobiety i piękne samochody

Na górę

Luc3k

Tytuł:

: sobota, 6 stycznia 2007, 10:01

Użytkownik

Rejestracja: czwartek, 4 sierpnia 2005, 14:57
Posty: 338
Lokalizacja: Nowy Sącz

Ja to załatwiam takim sposobem:

: [/] [] ()

iptables -I FORWARD -p tcp -s 192.168.14.34 -m ipp2p --ipp2p -m connlimit --connlimit-above 60 -j DROP

GeSHi © Codebox Plus

Liczba połączeń oczywiście nie utrzymuje się przy 60, ale oscyluje w tej granicy.

_________________
www.lan14.net

Na górę

Albercik

Tytuł:

: sobota, 6 stycznia 2007, 12:08

PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780

Luc3k pisze:

Ja to załatwiam takim sposobem:

: [/] [] ()

iptables -I FORWARD -p tcp -s 192.168.14.34 -m ipp2p --ipp2p -m connlimit --connlimit-above 60 -j DROP

GeSHi © Codebox Plus

Liczba połączeń oczywiście nie utrzymuje się przy 60, ale oscyluje w tej granicy.

U mnie jakoś to nie funkcjonuje, u wielu innych niestety też nie.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie

Szybkie kobiety i piękne samochody

Na górę

-MW-

Tytuł:

: sobota, 6 stycznia 2007, 15:50

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

mowa o wszystkich polaczeniach czy o wylapanych przez ipp2p ?

Na górę

gg123456

Tytuł:

: sobota, 6 stycznia 2007, 16:32

Użytkownik

Rejestracja: niedziela, 6 czerwca 2004, 19:35
Posty: 273
Lokalizacja: wlkp

U mnie regułki pod iptables działają i ograniczają. Nie używam squida, ani IMQ. Tylko niceshaper.

: [/] [] ()

iptables -t mangle -I FORWARD -s $IP -p tcp -m connlimit --connlimit-above $limit -j DROP

GeSHi © Codebox Plus

_________________
GG
Obrazek

Na górę

puchatek007

Tytuł:

: sobota, 6 stycznia 2007, 19:59

Użytkownik

Rejestracja: czwartek, 3 października 2002, 16:23
Posty: 271
Lokalizacja: Częstochowa

U mnie taka regułka dla każdego usera:

iptables -t filter -I FORWARD -s $ip -p tcp -m connlimit --connlimit-above 300 --connlimit-mask 32 -m ipp2p --ipp2p -j DROP

I również działa bardzo dobrze.

Na górę

-MW-

Tytuł:

: sobota, 6 stycznia 2007, 21:22

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

: [/] [] ()

U mnie taka regułka dla każdego usera: 

iptables -t filter -I FORWARD -s $ip -p tcp -m connlimit --connlimit-above 300 --connlimit-mask 32 -m ipp2p --ipp2p -j DROP 

GeSHi © Codebox Plus

po co az tyle tego ?

Na górę

puchatek007

Tytuł:

: sobota, 6 stycznia 2007, 21:49

Użytkownik

Rejestracja: czwartek, 3 października 2002, 16:23
Posty: 271
Lokalizacja: Częstochowa

Nie wiem, ważne że działa

--connlimit-mask 32 nie wiem do czego to i czy wogóle jest potrzebne.

Na górę

Luc3k

Tytuł:

: sobota, 6 stycznia 2007, 22:22

Użytkownik

Rejestracja: czwartek, 4 sierpnia 2005, 14:57
Posty: 338
Lokalizacja: Nowy Sącz

-MW- pisze:

mowa o wszystkich polaczeniach czy o wylapanych przez ipp2p ?

Tylko przez ipp2p. Dlaczego tak? Ponieważ przy zwykłym conlimicie p2p'y szybko wysycają cały limit i w tym momencie przeglądanie stron www staje się koszmarem. A tak to limit dla p2p jest w miarę restrykcyjnie pilnowany i zostaje dowolna ilość połączeń dla www i reszty usług.

_________________
www.lan14.net

Na górę

-MW-

Tytuł:

: sobota, 6 stycznia 2007, 22:59

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

po co one sa to ja wiem

lecz dlaczego osobno dla kazdego ip?

Na górę

Luc3k

Tytuł:

: niedziela, 7 stycznia 2007, 14:15

Użytkownik

Rejestracja: czwartek, 4 sierpnia 2005, 14:57
Posty: 338
Lokalizacja: Nowy Sącz

Ja ustawiam limity dopiero kiedy dany osobnik zaczyna przekraczać dozwolone normy.

_________________
www.lan14.net

Na górę

puchatek007

Tytuł:

: niedziela, 7 stycznia 2007, 14:29

Użytkownik

Rejestracja: czwartek, 3 października 2002, 16:23
Posty: 271
Lokalizacja: Częstochowa

-MW- pisze:

...lecz dlaczego osobno dla kazdego ip?

No a jak, jeden na całą sieć??
Przy tych regułach każdy może mieć max 250 połączeń co i tak rzadko się zdarza.

Ustaw taki limit na całą sieć. To programy p2p będą ledwo chodzić, a przecierz nie o to tu chodzi. A znowu dać duży limit, to wtedy jeden user może go całego zużyć. Też do kitu.
Dlatego limity mam z osobna na każdy IP.

Dobrze myśle czy nie?? Jak nie to poprawcie

Na górę

Luc3k

Tytuł:

: niedziela, 7 stycznia 2007, 15:00

Użytkownik

Rejestracja: czwartek, 4 sierpnia 2005, 14:57
Posty: 338
Lokalizacja: Nowy Sącz

puchatek007 pisze:

A znowu dać duży limit, to wtedy jeden user może go całego zużyć. Też do kitu.

Tutaj nie do końca się zgodzę odnośnie regułki, którą podałem. Owszem, limit nadany zostanie wyczerpany, to fakt, ale tylko dla p2p. W tym przypadku korzystanie z reszty usług (www itp) nie stwarza problemów. Jeśli ustawisz limit opierając się jedynie na "czystym" conlimicie na wszystkie usługi to p2p wyssie Ci wszystko i stronę będziesz otwierał ze 2 min.

_________________
www.lan14.net

Na górę

puchatek007

Tytuł:

: niedziela, 7 stycznia 2007, 15:07

Użytkownik

Rejestracja: czwartek, 3 października 2002, 16:23
Posty: 271
Lokalizacja: Częstochowa

No przecierz podana przeze mnie regułka dotyczy tylko p2p

.
Ale na wszelki wypadek gdyby jakiś program się nie załapał w nią to mam jezcze jedną, z ciut więlkszym limitem na wszystko dla usera.

Na górę

Luc3k

Tytuł:

: niedziela, 7 stycznia 2007, 15:10

Użytkownik

Rejestracja: czwartek, 4 sierpnia 2005, 14:57
Posty: 338
Lokalizacja: Nowy Sącz

Ah tak, przepraszam, moja zła interpretacja - cały czas mam na myśli swoją.

_________________
www.lan14.net

Na górę

-MW-

Tytuł:

: niedziela, 7 stycznia 2007, 15:58

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

proponuje poczytac ja ta regulka dziala.

a above 300 to lekka przesada

Na górę

Strona 1 z 2

[ Posty: 27 ]

Przejdź na stronę 1, 2 Następna

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 14 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników