Търси htb.init

В самия сорс има пример ......
И това, ако не е дъвкано поне 20 пъти в тоя форум....

http://www.epanorama.net/circuits/parallel_output.html

Надявам се да съм помогнал ...

[Цитат]

Цитат (laskov @ Ян. 04 2005,17:47)

Един малко страничен въпрос - целта на цялата работа беше spyware -тата  да не бавят комповете. Ако им спрете достъпа до web ресурси, те пак ще си работят, ще си пращат пакети, ще правят опити да се свържат и пак ще пречат. Не е ли така?

Може би, ако пакетите не се DROP-ват, а се REJECT-тват самия spyware ще спре да праща пакети, поне някои вируси така реагират ...

[Цитат]

Цитат (vlad73 @ Ян. 04 2005,15:49)

Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик.

Малко не съм съгласен тука. През Input и Output минават само пакетите, които са  предназначени за (или излизат от ) конкретната машина. Иначе казано те няма как да окажат каквото и да е влияние на транзитния трафик, който пък си минава през Forward.Напълно съм съгласен, с тебе Влад '>
Грешката е моя

1. Извинявай, сега видях, че eth0 ти е вътрешния интерфейс - правилото трябва да е :

iptables -A INPUT -i eth0 -d gator.com -j DROP

2. Политиката на веригата се изпълнява чак след като минеш през всички правила на веригата.

3. Входящи пакети към самия линукс рутер?
INPUT -i eth1
INPUT -i eth0
кое сега е "вход" към линукс рутера

Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик.

С твоя firewall, когато spyware софтуера на някой клиент иска връзка към неговия си сървер, то той задължително ще мине през INPUT веригата заради твоето правило:

iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j ACCEPT

след това през FORWARD веригата заради твоето правило:

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

и най-накрая по подразбиране минава и през OUTPUT веригата.
До политиката DROP на INPUT веригата изобщо не стигнахме, нали? И изобщо не говоря за рутера и неговия трафик.

Айде сега Ironman да каже дали иска ограничение по скорост или ограничение по трафик ................

iptables -L FORWARD -nxv

ще ти даде за всяко ип, което си разрешил през forward веригата колко трафик е направило. Само имай предвид, че всяко рестартиране на сървера (или firewall-a) ще нулира борячите. Ако сложиш ключ Z ще ги нулираш точно след отчитането - останалото го оставям на теб '>

Привет, ЧНГ !

Ако искаш да рутираш реални ИП-та зад gateway-a ти, с риск да го повторя, Bogo вече ти каза:

man route
route add -net
route add -host

можеш и за всеки случай да си пуснеш proxyarp в зависимост от политиката на доставчика ти.

Тия другите неща дето ти ги предлагат са изключително и само за работа с НЕреални ИП-та.

То ти в INPUT веригата на вътрешния интерфейс си разрешил ВСИЧКИ заявки със source адреси от локалнта мрежа - т.е. spyware по никакъв начин не го спираш - това исках да ти кажа с предния си отговор. Трябва в INPUT веригата (или в PREROUTING) да DROP-ваш всички пакети с destination IP-та, които са явно заявени от spyware софтуер (по ИП-тата ще ги познаем '> ). Примерно:

iptables -A INPUT -i eth1 -d gator.com -j DROP

Ама това трябва да го сложиш преди какъвто и да било ACCEPT в INPUT веригата.

Е да ама трафика от spyware софтуера се счита от твоя firewall като трафик от потребителя - т.е. не знае, че е spyware. С ИП-тата точно това правиш - дефинираш spyware трафик.
С тия редове не спираш трафика - бъди сигурен '>

root@server:# chmod 6755 executable_file

Trojan Ports list

Това може да ти послужи като начало, има доста линкове ...
А можеш направо да отрежеш IP-тата на гадовете '>

Иначе добрия проф. Гуугле отново е компетентен:

http://www.google.com/search?hl=bg&q=gator+iptables&lr=

'>

Но по принцип трябва да предупредиш потребителите кои ИП-та си орязал ... Понякога риват '>

Една полезна статия:
HTB

Ограничаването на изходящия трафик се прави с цел да не ти се задръсти канала за обратна връзка и така да забавиш (а може би и да губиш) обратните ACK пакети за download-а а оттам и самия него ... TCP/IP !!!
В горната статия има интересни подходи за приоритезирането на различните видове пакети - не съм виждал другаде да го дават като съвет '>

Пак ти казвам - ползвай htb.init - само с хелп-а даден в самия сорс ще се оправиш самичък.

Иначе - това 1:1 не ми харесва, смени го примерно на 1:2.

Успех !

ПС: М/у другото с тези правила в iptables и tc ще шейпваш само доунлоад-а - не забравяй спецификата на TCP/IP протокола. Най-добре е да шейпнеш и ъплоада.

SMITH, ще може ли някак да ми преместиш темата към секцията за Напреднали, защото тоя път си мисля, че все пак е за там ... Бях пуснал там тема с препратка натук, ама "някой" ми я изтри ...
Ако трябва ще си напиша темата наново ТАМ ама явно не е за тая секция