Титла: Лимит на връзки със iptables
Публикувано от: saturn_vk в Feb 09, 2004, 14:39
Наскоро ISP-то ми направи проблем че съм имал прекалено много отворени "сесии" (предполагам връзки). А има ли начин да сложа лимит на колко "сесии" мога да прекарвам, от маскираните компютри и от сървъра?
Титла: Лимит на връзки със iptables
Публикувано от: stockton в Feb 09, 2004, 15:04
Mozhe. Mnogo mozhe dazhe 
Zacheti:
http://netfilter.org/patch-o-matic/pom-base.html#pom-base-connlimit
i za poveche jasnota,da rechem:
http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html
A ako imash povechko ip space podryka:
iptables -A POSTROUTING -t nat -s aaa.bbb.ccc.ddd/YY -j SNAT --to-source real_address1-real_adressN
Zacheti:
http://netfilter.org/patch-o-matic/pom-base.html#pom-base-connlimit
i za poveche jasnota,da rechem:
http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html
A ako imash povechko ip space podryka:
iptables -A POSTROUTING -t nat -s aaa.bbb.ccc.ddd/YY -j SNAT --to-source real_address1-real_adressN
Титла: Лимит на връзки със iptables
Публикувано от: Nerf в Feb 09, 2004, 15:18
Drasti
Abslolutno wyzmojno e!
ti si w nqkoi kwartalen LAN nali?
ako e taka i polzwa6 razni programki za swalqne na koito si im zadal da otwarqt mnogo sesii namali proq na sesiite i nqma da ima6 problemi
li4no pri men kolkoto i sesii da otwarqt tiq programki nqma razlika w skorosta na download.
Abslolutno wyzmojno e!
ti si w nqkoi kwartalen LAN nali?
ako e taka i polzwa6 razni programki za swalqne na koito si im zadal da otwarqt mnogo sesii namali proq na sesiite i nqma da ima6 problemi
li4no pri men kolkoto i sesii da otwarqt tiq programki nqma razlika w skorosta na download.
Титла: Лимит на връзки със iptables
Публикувано от: melwin в Feb 09, 2004, 15:37
Може би човека има предвид това:
iptables -t nat -A PREROUTING -i $lan_eth -p tcp --syn --dport http -m iplimit --iplimit-above 5 -j REJECT --reject-with tcp-reset
което ограничава броя на отворените http конекции до 5 след което внимателно уведомява клиента че не може да направи нова конекция (след 5-та)
Естествено възможни са и вариации .. просто предлагам един по-пълен пример за да си наясно къде какво да смениш за свой нужди.
iptables -t nat -A PREROUTING -i $lan_eth -p tcp --syn --dport http -m iplimit --iplimit-above 5 -j REJECT --reject-with tcp-reset
което ограничава броя на отворените http конекции до 5 след което внимателно уведомява клиента че не може да направи нова конекция (след 5-та)
Естествено възможни са и вариации .. просто предлагам един по-пълен пример за да си наясно къде какво да смениш за свой нужди.
Титла: Лимит на връзки със iptables
Публикувано от: frinko в Feb 09, 2004, 18:53
ei melwin -iplimit ne e li zamaneno s -connlimit veche ?
patch-o-matic -a go niama tva iplimit ?
patch-o-matic -a go niama tva iplimit ?
Титла: Лимит на връзки със iptables
Публикувано от: saturn_vk в Feb 09, 2004, 19:24
| Цитат (melwin @ Фев. 09 2004,16:37) |
| Може би човека има предвид това: iptables -t nat -A PREROUTING -i $lan_eth -p tcp --syn --dport http -m iplimit --iplimit-above 5 -j REJECT --reject-with tcp-reset което ограничава броя на отворените http конекции до 5 след което внимателно уведомява клиента че не може да направи нова конекция (след 5-та) Естествено възможни са и вариации .. просто предлагам един по-пълен пример за да си наясно къде какво да смениш за свой нужди. |
май точно нещо такова ми трябва. проблема е че не знам какво точно разбират под "сесии". Дали включва сборът на upload и download за всякакви протоколи?
а иначе нали мога да прибавя -m iplimit --iplimit-above 5 -j REJECT само към PREROUTING таблицата, без да назовавам ip-тата и протоколите?
Титла: Лимит на връзки със iptables
Публикувано от: saturn_vk в Feb 09, 2004, 19:58
| Цитат (frinko @ Фев. 09 2004,19:53) |
| ei melwin -iplimit ne e li zamaneno s -connlimit veche ? patch-o-matic -a go niama tva iplimit ? |
да connlimit e вече.
а между другото, май трябва най новата версия на Iptables за да мога да използвам connlimit, само със patch-o-matic-а не става
Титла: Лимит на връзки със iptables
Публикувано от: frinko в Feb 09, 2004, 20:06
ami nai-mnogo da triabva i novia userspace za iptables i gotovo...
ako imash 1.2.9 iptables userspace ne ti triabva
ako imash 1.2.9 iptables userspace ne ti triabva
Титла: Лимит на връзки със iptables
Публикувано от: saturn_vk в Feb 09, 2004, 20:14
сложих нов iptables(1.2.9), но не мога да набарам синтаксиса на тоя лимит. някой ще помогне ли? ето какво пиша:
iptables -t nat -A PREROUTING -i ppp0 -m connlimit --connlimit-above 70 -j REJECT
и с това не става:
iptables -t nat -A PREROUTING -p tcp --syn -i ppp0 --dport 80 -m connlimit --connlimit-above 70 -j REJECT
нито пък с това:
iptables -t nat -A PREROUTING -p tcp -i ppp0 -m connlimit --connlimit-above 70 -j REJECT
иначе грешката си е само една: Invalid argument
iptables -t nat -A PREROUTING -i ppp0 -m connlimit --connlimit-above 70 -j REJECT
и с това не става:
iptables -t nat -A PREROUTING -p tcp --syn -i ppp0 --dport 80 -m connlimit --connlimit-above 70 -j REJECT
нито пък с това:
iptables -t nat -A PREROUTING -p tcp -i ppp0 -m connlimit --connlimit-above 70 -j REJECT
иначе грешката си е само една: Invalid argument
Титла: Лимит на връзки със iptables
Публикувано от: frinko в Feb 09, 2004, 20:30
kato pachnesh iadroto s patch-o-matic-a go kompilirai i pri
menuconfig-a vij dali sa otmetnati match-extensionite koito te interesuvat.
ako gi kompilirash kato moduli sled tova shte triabva da
napravish insmod connlimit.o , ei ama ne pomnia dali taka se
kazvashe modula
aire uspeh
menuconfig-a vij dali sa otmetnati match-extensionite koito te interesuvat.
ako gi kompilirash kato moduli sled tova shte triabva da
napravish insmod connlimit.o , ei ama ne pomnia dali taka se
kazvashe modula
aire uspeh
Титла: Лимит на връзки със iptables
Публикувано от: saturn_vk в Feb 09, 2004, 21:25
| Цитат (frinko @ Фев. 09 2004,21:30) |
| kato pachnesh iadroto s patch-o-matic-a go kompilirai i pri menuconfig-a vij dali sa otmetnati match-extensionite koito te interesuvat. ako gi kompilirash kato moduli sled tova shte triabva da napravish insmod connlimit.o , ei ama ne pomnia dali taka se kazvashe modula aire uspeh |
Мисля че щом ми дава " Invalid argument" като грешка, е ясно на всички че тази част отдавна съм я минал. Но синтаксиса явно не е така.
и модула е ipt_connlimit.o
Титла: Лимит на връзки със iptables
Публикувано от: frinko в Feb 09, 2004, 21:41
e-mi sintaksisa ti e pravilen,
moje da probvash v filter tablicata !
moje da probvash v filter tablicata !
Титла: Лимит на връзки със iptables
Публикувано от: saturn_vk в Feb 09, 2004, 22:00
| Цитат (frinko @ Фев. 09 2004,22:41) |
| e-mi sintaksisa ti e pravilen, moje da probvash v filter tablicata ! |
filter tablicata?
Титла: Лимит на връзки със iptables
Публикувано от: frinko в Feb 09, 2004, 22:20
probvai s tva:
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 70 -j REJECT
ako pak ti dade greshka... predpolagam neshto pacha ne si e svarshil rabotata.....
inache niamam drugi idei...
uspeh
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 70 -j REJECT
ako pak ti dade greshka... predpolagam neshto pacha ne si e svarshil rabotata.....
inache niamam drugi idei...uspeh
Титла: Лимит на връзки със iptables
Публикувано от: saturn_vk в Feb 09, 2004, 23:16
| Цитат (frinko @ Фев. 09 2004,23:20) |
| probvai s tva: iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 70 -j REJECT ako pak ti dade greshka... predpolagam neshto pacha ne si e svarshil rabotata..... inache niamam drugi idei...uspeh |
хаха, това бачка, значи не съм ги слагал на правилната таблица.
много мерси човече
сега само дано да работи както трябва и да ограничава броя на връзките, иначе ще си търся друго ISP
Титла: Лимит на връзки със iptables
Публикувано от: в Feb 10, 2004, 14:28
Izw. za latinicata !!!
Taka zna`i nali towa ne e ruter !?. a si e twoqta ma6ina, zna4i trqbwa da sa w INPUT werigata, no wiv sega za6to ne sa stawali pri PREROUTING , emi mnogo logi4no , to PREROUTING e pyrwata weriga ! Togawa o6te se 4udime kakwo da prawime paket-a
We4e kato se znae na kyde i za6to si go trepi 
Taka de , kato ograni4awa6 ip za sesii primerno 6te go pi6e6 wyw FORWARD nali Uspeh M/uwpro`em ISP-tata ot mnooogoo wreme nasam te si slagat ograni4enie na sesijte , taka 4e se radwaj , 4e ne si ograni4en - o6te ... edin limit ot 10 sesij na client e dostaty4en napylno , samo 4e az sym, na 5 -> OT ISP-to ...
Taka zna`i nali towa ne e ruter !?. a si e twoqta ma6ina, zna4i trqbwa da sa w INPUT werigata, no wiv sega za6to ne sa stawali pri PREROUTING , emi mnogo logi4no , to PREROUTING e pyrwata weriga ! Togawa o6te se 4udime kakwo da prawime paket-a
We4e kato se znae na kyde i za6to si go trepi Taka de , kato ograni4awa6 ip za sesii primerno 6te go pi6e6 wyw FORWARD nali
Uspeh M/uwpro`em ISP-tata ot mnooogoo wreme nasam te si slagat ograni4enie na sesijte , taka 4e se radwaj , 4e ne si ograni4en - o6te ... edin limit ot 10 sesij na client e dostaty4en napylno , samo 4e az sym, na 5 -> OT ISP-to ...