Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest sobota, 28 czerwca 2025, 14:56

Posty bez odpowiedzi | Aktywne tematy


Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  Strona 2 z 2
  [ Posty: 27 ]  Przejdź na stronę Poprzednia  1, 2
  Podgląd wydruku Poprzedni temat | Następny temat 
Autor Wiadomość
MarkosX
 Tytuł:
Post: niedziela, 7 stycznia 2007, 16:23 
Offline

Rejestracja: środa, 2 listopada 2005, 00:08
Posty: 69
Lokalizacja: almost Gdańsk
Warto tutaj dodać, że connlimit nie działa na porty forwardowane (np. dla p2p) tzn. nie ogranicza połączeń tcp nawiązanych (ESTABLISHED).

_________________
W LAN-ie wszyscy jesteśmy jedną wielką rodziną.
DSL 4mbit | 12 osób
Na górę
 Wyświetl profil  
 
przemek_nnd
 Tytuł:
Post: niedziela, 7 stycznia 2007, 17:46 
Offline
Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek
a sprawdźcie to
: [/] [] ()
$IPTABLES -A FORWARD -p tcp --syn -s $IP -m connlimit --connlimit-above $MAX_CONN -j REJECT --reject-with tcp-reset
$IPTABLES -A FORWARD -p tcp --syn -d $IP -m connlimit --connlimit-above $MAX_CONN -j REJECT --reject-with tcp-reset
#ograniczanie na port x
$IPTABLES -A FORWARD -s $IP -p tcp --dport x -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset
$IPTABLES -A FORWARD -d $IP -p tcp --dport x -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset
GeSHi © Codebox Plus
Na górę
 Wyświetl profil  
 
przemek_nnd
 Tytuł:
Post: niedziela, 7 stycznia 2007, 17:53 
Offline
Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek
a i jeszcze dodajcie np to:

: [/] [] ()
echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "60" > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout
echo "60" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo "1" > /proc/sys/net/ipv4/igmp_max_memberships
echo "0" > /proc/sys/net/ipv4/tcp_window_scaling
echo "0" > /proc/sys/net/ipv4/tcp_sack
echo "32768-64000" > /proc/sys/net/ipv4/ip_local_port_range
#echo "86400" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo "43200" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo "5" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
echo "30" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack
echo "20480" > /proc/sys/net/ipv4/ip_conntrack_max
echo "10240" > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
echo "40" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo "30" > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo "180" > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
echo "20" > /proc/sys/net/ipv4/ipfrag_time
echo "1280" > /proc/sys/net/ipv4/tcp_max_syn_backlog
#echo "0" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_log_out_of_window
#echo "0" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_log_invalid_scale
######## Inne dodatki ################################################################
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw
echo "1" >/proc/sys/net/ipv4/conf/all/rp_filter

# Ochrona przed atakiem typu Smurf
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Nie aktceptujemy pakietow "source route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Wlaczamy ochrone przed blednymi komunikatami ICMP error
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
# TCP timestamps protection
echo "1" > /proc/sys/net/ipv4/tcp_timestamps

# Ignore redirected packets
echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects
echo "100 1200 128 512 500 5000 500 1884 1" > /proc/sys/vm/bdflush
#echo "80 10 60" > /proc/sys/vm/buffermem
echo 6144 > /proc/sys/fs/file-max
#echo 24576 > /proc/sys/fs/inode-max
# wylaczamy odpowiedzi na pingi
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#zabezpieczenie przed skanowaniem ftp
iptables -A INPUT -p tcp --dport 21 -m recent --name FTP --seconds 60 --update -j DROP
iptables -A INPUT -p tcp --dport 21 -m limit --limit 5/second --limit-burst 15 -m recent --name FTP --set -j ACCEPT
GeSHi © Codebox Plus
Na górę
 Wyświetl profil  
 
viater
 Tytuł:
Post: niedziela, 7 stycznia 2007, 19:29 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
MarkosX pisze:
Warto tutaj dodać, że connlimit nie działa na porty forwardowane (np. dla p2p) tzn. nie ogranicza połączeń tcp nawiązanych (ESTABLISHED).

Działa, działa, tylko trza umieć :wink:

: [/] [] ()
iptables -A FORWARD -d $INT_IP -p tcp --syn -m connlimit --connlimit-above 30 --connlimit-mask 0 -j DROP
GeSHi © Codebox Plus

- gdzie $INT_IP - IP klienta, który ma przekierowane porty (działa również przy przekierowaniu publicznego IP na $INT_IP).

_________________
F33/F07,F11,F13,F17
ObrazekObrazek
Na górę
 Wyświetl profil  
 
themaq
 Tytuł:
Post: wtorek, 9 stycznia 2007, 21:31 
Offline

Rejestracja: czwartek, 22 września 2005, 17:12
Posty: 62
Lokalizacja: Rzesza
przemek_nnd pisze:
a i jeszcze dodajcie np to:

: [/] [] ()
echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "60" > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout
[...]
GeSHi © Codebox Plus


Skad to wzioles? Dobrze sie sprawuje?

Chcialbym uscislic, ze juz wczesniej byl taki temat, wystarczy poszukac.. jedna linijka zalatwia wszystko:
: [/] [] ()
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 160 --connlimit-mask 32 -j DROP
GeSHi © Codebox Plus


IP zmieniamy wg potrzeb. Pozdrawiam.

_________________
Obrazek :: Just hear it! ::
Na górę
 Wyświetl profil  
 
-MW-
 Tytuł:
Post: wtorek, 9 stycznia 2007, 21:49 
Offline
Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój
Cytuj:
Warto tutaj dodać, że connlimit nie działa na porty forwardowane (np. dla p2p) tzn. nie ogranicza połączeń tcp nawiązanych (ESTABLISHED).



eeee
Na górę
 Wyświetl profil  
 
przemek_nnd
 Tytuł:
Post: wtorek, 9 stycznia 2007, 22:29 
Offline
Użytkownik

Rejestracja: sobota, 1 stycznia 2005, 21:33
Posty: 416
Lokalizacja: Włocławek
themaq pisze:
przemek_nnd pisze:
a i jeszcze dodajcie np to:

: [/] [] ()
echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "60" > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
echo "20" > /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout
[...]
GeSHi © Codebox Plus


Skad to wzioles? Dobrze sie sprawuje?

[/code]

Jak na razie bez problemów :) :)
Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  Strona 2 z 2
  [ Posty: 27 ]  Przejdź na stronę Poprzednia  1, 2

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 27 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl