| Zobacz poprzedni temat :: Zobacz następny temat |
| Autor |
Wiadomość |
monster
Użytkownik
Dołączył: 13 Maj 2004
Ostatnio widziany: 10 Lut 2006
Posty: 210
Postów na dzień: 0.15
|
 Wysłany: Wto Sie 31, 2004 11:14 pm Temat postu: ograniczenie ilosci polaczen |
 |
|
witam,
za pomoca HTB potrafie juz ograniczyc maksymalny transfer
danemu uzytkownikowi, teraz chcialbym ustawic maksymalna ilosc
polaczen jakie dany uzytkownik moze nawiazac.
czy robi sie to rowniez poprzez HTB,
czy sa do tego jakies inne narzedzia?
dzieki i pozdrawiam |
|
| Powrót do góry |
|
 |
Albercik
Użytkownik
Dołączył: 15 Mar 2003
Ostatnio widziany: 18 Mar 2008
Posty: 2329
Pomógł: 25
Postów na dzień: 1.27
|
| Wysłany: Wto Sie 31, 2004 11:35 pm Temat postu: |
|
|
| Kod: |
iptables -t filter -A FORWARD -s 192.168.1.10/24 -o eth1 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset
|
Nie wiem czyto zadziała - ale NNd przyjął bez jęknięcia
_________________
Tylko POLSKA ma zapasową kopię prezydenta 
Doba ma 24 godziny, skrzynka 24 piwa....zbieg okoliczności? |
|
| Powrót do góry |
|
|
monster
Użytkownik
Dołączył: 13 Maj 2004
Ostatnio widziany: 10 Lut 2006
Posty: 210
Postów na dzień: 0.15
|
| Wysłany: Sro Wrz 01, 2004 12:25 am Temat postu: |
|
|
a jak mozna sprawdzic czy to dziala?
jakis program na stacji kliencikiej, ktory by wyswietlil komunikat,
ze nie moze wiecej sie laczyc ... |
|
| Powrót do góry |
|
|
prg080
Użytkownik
Dołączył: 23 Lis 2003
Ostatnio widziany: 30 Gru 2007
Posty: 344
Pomógł: 3
Postów na dzień: 0.22
|
| Wysłany: Sro Wrz 01, 2004 1:41 pm Temat postu: |
|
|
Np. komenda:
netstat-nat -n |
|
| Powrót do góry |
|
|
jarekjarek
Użytkownik
Dołączył: 29 Kwi 2004
Ostatnio widziany: 15 Mar 2008
Posty: 183
Postów na dzień: 0.13
Skąd: B-st
|
| Wysłany: Sro Wrz 01, 2004 2:11 pm Temat postu: |
|
|
moze by tak ktos napisal gdzie ten wpis umiescic ( w ktory plik wpisac), czy działa i jak to zrobic na konkretnego usera bo jakos nie widze tu pojedynczego IP co prawda nie znam sie za bardzo na linuxie ale to by sie przydalo na sciagaczy i zainfekowanych wirusami
_________________
_________________
Jarek |
|
| Powrót do góry |
|
|
monster
Użytkownik
Dołączył: 13 Maj 2004
Ostatnio widziany: 10 Lut 2006
Posty: 210
Postów na dzień: 0.15
|
| Wysłany: Sro Wrz 01, 2004 2:36 pm Temat postu: |
|
|
mozesz to wpisac gdzie chcesz. np do rc.firewall
albo utworzyc oddzielny plik i wrzucic go do rc.router
| Cytat: | iptables -t filter -A FORWARD -s 192.168.1.10/24 -o eth1 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset |
rozumiem, ze parametr -s (source) odpowiada za to, ktoremu uzytkownikowi mamy ograniczyc ilosc polaczen,
czyli np mozemy wpisac -s 192.168.1.3 ?? tak?
-m connlimit --connlimit-above 300 to maksymalna ilosci polaczen??
mam jeszcze pytanie: po co jest -m mark --mark 0x0 ?
i co daje parametr --connlimit-mask 32
i jakie sa jeszcze inne parametry dla REJECT oprocz --reject-with tcp-reset,
dlaczego akurat taki parametr REJECT?
ps. jaka jest sensowna maksymalna ilosc wszystkich polaczen dla laczy typu neostrada, iDSL? |
|
| Powrót do góry |
|
|
jarekjarek
Użytkownik
Dołączył: 29 Kwi 2004
Ostatnio widziany: 15 Mar 2008
Posty: 183
Postów na dzień: 0.13
Skąd: B-st
|
| Wysłany: Sro Wrz 01, 2004 2:54 pm Temat postu: |
|
|
wpisalem to i nic nie działa akurat jeden w sasiedniej sieci ma saserka generuje prawie 5000 polonczen to nic mu nie ogranicza mam statystyki zciecha pokazuje ilosc polonczen
_________________
Jarek |
|
| Powrót do góry |
|
|
Albercik
Użytkownik
Dołączył: 15 Mar 2003
Ostatnio widziany: 18 Mar 2008
Posty: 2329
Pomógł: 25
Postów na dzień: 1.27
|
| Wysłany: Sro Wrz 01, 2004 2:57 pm Temat postu: |
|
|
| Cytat: |
rozumiem, ze parametr -s (source) odpowiada za to, ktoremu uzytkownikowi mamy ograniczyc ilosc polaczen,
czyli np mozemy wpisac -s 192.168.1.3 ?? tak?
|
tak
| Cytat: |
-m connlimit --connlimit-above 300 to maksymalna ilosci polaczen??
|
| Cytat: |
mam jeszcze pytanie: po co jest -m mark --mark 0x0 ?
|
tutaj należy wpisac odpowiedni mark jaki jest podpięty do danego IPka
| Cytat: |
i co daje parametr --connlimit-mask 32
i jakie sa jeszcze inne parametry dla REJECT oprocz --reject-with tcp-reset,
dlaczego akurat taki parametr REJECT?
|
tego Ci nie powiem ... bo nie wiem  , ale zrobiłem to raz dla całej sieci i zadziałało - znalazłem te parametry przy innej pkazji , okazały się skuteczne tutaj
| Cytat: |
ps. jaka jest sensowna maksymalna ilosc wszystkich polaczen dla laczy typu neostrada, iDSL?
|
nie od łącza to zależy ale od routera - ponoć speedstream dla DSL może do300 połączeń aktywnych obsłużyć - ja miałem na nim grubo powżej 3000 i nie działo się nic złego z netem
_________________
Tylko POLSKA ma zapasową kopię prezydenta
Doba ma 24 godziny, skrzynka 24 piwa....zbieg okoliczności? |
|
| Powrót do góry |
|
|
jarekjarek
Użytkownik
Dołączył: 29 Kwi 2004
Ostatnio widziany: 15 Mar 2008
Posty: 183
Postów na dzień: 0.13
Skąd: B-st
|
| Wysłany: Sro Wrz 01, 2004 3:05 pm Temat postu: |
|
|
kurcze ludzie jaki mark wpisac jak to sprawdzic jaki ma mark podpiety do ipka
_________________
Jarek |
|
| Powrót do góry |
|
|
monster
Użytkownik
Dołączył: 13 Maj 2004
Ostatnio widziany: 10 Lut 2006
Posty: 210
Postów na dzień: 0.15
|
| Wysłany: Sro Wrz 01, 2004 3:09 pm Temat postu: |
|
|
| Albercik napisał: |
| Cytat: |
mam jeszcze pytanie: po co jest -m mark --mark 0x0 ?
|
tutaj należy wpisac odpowiedni mark jaki jest podpięty do danego IPka
|
skad mam wziac ten mark?
przeciez wczesniej nie byl definiowany? |
|
| Powrót do góry |
|
|
zciech
MODERATOR
Dołączył: 14 Lip 2002
Ostatnio widziany: 18 Mar 2008
Posty: 3136
Pomógł: 169
Postów na dzień: 1.51
Skąd: Radziejów
|
| Wysłany: Sro Wrz 01, 2004 3:24 pm Temat postu: |
|
|
| iptables -I FORWARD -s $IP -p tcp -m connlimit --connlimit-above 300 -j DROP |
|
| Powrót do góry |
|
|
gg123456
Użytkownik
Dołączył: 06 Cze 2004
Ostatnio widziany: 12 Lis 2007
Posty: 273
Pomógł: 7
Postów na dzień: 0.2
Skąd: wlkp
|
| Wysłany: Sro Wrz 01, 2004 7:28 pm Temat postu: |
|
|
| Albercik napisał: | | Kod: |
iptables -t filter -A FORWARD -s 192.168.1.10/24 -o eth1 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset
|
|
a nie powinno byc dla calej sieci:
| Kod: |
iptables -t filter -A FORWARD -s 192.168.1.0/24 -o eth1 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset
|
a dla konkretnego usera:
| Kod: |
iptables -t filter -A FORWARD -s 192.168.1.3 -o eth1 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset
|
_________________
GG
 |
|
| Powrót do góry |
|
|
Albercik
Użytkownik
Dołączył: 15 Mar 2003
Ostatnio widziany: 18 Mar 2008
Posty: 2329
Pomógł: 25
Postów na dzień: 1.27
|
| Wysłany: Sro Wrz 01, 2004 8:16 pm Temat postu: |
|
|
| Cytat: |
a nie powinno byc dla calej sieci (...)
|
raczej tak :
iptables -t filter -A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset
| Cytat: |
a dla konkretnego usera:
|
hmmmm ... nie widzę różnicy między moim a twoim....
_________________
Tylko POLSKA ma zapasową kopię prezydenta
Doba ma 24 godziny, skrzynka 24 piwa....zbieg okoliczności? |
|
| Powrót do góry |
|
|
prg080
Użytkownik
Dołączył: 23 Lis 2003
Ostatnio widziany: 30 Gru 2007
Posty: 344
Pomógł: 3
Postów na dzień: 0.22
|
| Wysłany: Sro Wrz 01, 2004 8:47 pm Temat postu: |
|
|
Ja mam:
iptables -I FORWARD -p tcp -o eth0 --dport 1024:65535 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
i dziala. |
|
| Powrót do góry |
|
|
monster
Użytkownik
Dołączył: 13 Maj 2004
Ostatnio widziany: 10 Lut 2006
Posty: 210
Postów na dzień: 0.15
|
| Wysłany: Sro Wrz 01, 2004 9:02 pm Temat postu: |
|
|
a dlaczego -o eth0, a nie -o ppp0
i jeszcze czym sie jeszcze rozni
-j REJECT --reject-with tcp-reset
od
-j DROP
dzieki |
|
| Powrót do góry |
|
|
gg123456
Użytkownik
Dołączył: 06 Cze 2004
Ostatnio widziany: 12 Lis 2007
Posty: 273
Pomógł: 7
Postów na dzień: 0.2
Skąd: wlkp
|
| Wysłany: Sro Wrz 01, 2004 9:03 pm Temat postu: |
|
|
| Albercik napisał: | iptables -t filter -A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp -m mark \
--mark 0x0 -m connlimit --connlimit-above 300 --connlimit-mask 32 \
-j REJECT --reject-with tcp-reset
|
to zalezy jakie kto ma polaczenie. Dla SDI - eth0.
_________________
GG
|
|
| Powrót do góry |
|
|
gg123456
Użytkownik
Dołączył: 06 Cze 2004
Ostatnio widziany: 12 Lis 2007
Posty: 273
Pomógł: 7
Postów na dzień: 0.2
Skąd: wlkp
|
| Wysłany: Sro Wrz 01, 2004 9:06 pm Temat postu: |
|
|
| monster napisał: | a dlaczego -o eth0, a nie -o ppp0
|
to zalezy. Ograniczenie dotyczy interfejsu wychodzacego. Jesli ograniczysz ppp0, to bedziesz mial limit na dane z sieci do netu, a jesli eth0, to bedziesz mial limit na dane z netu do sieci.
_________________
GG
|
|
| Powrót do góry |
|
|
monster
Użytkownik
Dołączył: 13 Maj 2004
Ostatnio widziany: 10 Lut 2006
Posty: 210
Postów na dzień: 0.15
|
| Wysłany: Sro Wrz 01, 2004 9:12 pm Temat postu: |
|
|
ja wiem, ze -o to output. u mnie siec dziala na eth1,
ppp0 to wirtualny interfejs na eth0.
w ustawieniach htb wszedzie jest ppp0, a nie eth0,
wiec chcialbym sie dowiedziec, czemu tutaj akurat eth0, a nie ppp0 |
|
| Powrót do góry |
|
|
gg123456
Użytkownik
Dołączył: 06 Cze 2004
Ostatnio widziany: 12 Lis 2007
Posty: 273
Pomógł: 7
Postów na dzień: 0.2
Skąd: wlkp
|
| Wysłany: Sro Wrz 01, 2004 9:27 pm Temat postu: |
|
|
nie wiem. U mnie nie ma takiej sytuacji. Sprobuj i tak, i tak, to zabaczymy co jest lepsze 
_________________
GG
|
|
| Powrót do góry |
|
|
prg080
Użytkownik
Dołączył: 23 Lis 2003
Ostatnio widziany: 30 Gru 2007
Posty: 344
Pomógł: 3
Postów na dzień: 0.22
|
| Wysłany: Czw Wrz 02, 2004 7:03 am Temat postu: |
|
|
Zapomialem dodac, ze to jest dsl czyli eth0 jest do netu. Dziala na kazdego usera oddzielnie, czyli kazdy ma max. tyle mozliwych polaczen itd.
Na wirusiki np. sasseropodobne, dac na forwardzie blokade wybranych portow + logowanie "martiansow" i widac w logach do kogo trzeba isc z pałą  |
|
| Powrót do góry |
|
|
|
FAQ
Szukaj
Użytkownicy
Grupy
Statistics
Rejestracja
Profil
Zaloguj się, by sprawdzić wiadomości
Zaloguj
