Автор Тема: Лимит на връзки със iptables  (Прочетена 3407 пъти)

saturn_vk

  • Напреднали
  • *****
  • Публикации: 215
    • Профил
Лимит на връзки със iptables
« -: Feb 09, 2004, 14:39 »
Наскоро ISP-то ми направи проблем че съм имал прекалено много отворени "сесии" (предполагам връзки). А има ли начин да сложа лимит на колко "сесии" мога да прекарвам, от маскираните компютри и от сървъра?
Активен

"That is not dead which can eternal lie,
And with strange aeons even death may die."

stockton

  • Напреднали
  • *****
  • Публикации: 58
    • Профил
Лимит на връзки със iptables
« Отговор #1 -: Feb 09, 2004, 15:04 »
Mozhe. Mnogo mozhe dazhe '<img'>
Zacheti:
http://netfilter.org/patch-o-matic/pom-base.html#pom-base-connlimit
i za poveche jasnota,da rechem:
http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html
A ako imash povechko ip space podryka:
iptables -A POSTROUTING -t nat -s aaa.bbb.ccc.ddd/YY -j SNAT --to-source real_address1-real_adressN
Активен

Nerf

  • Напреднали
  • *****
  • Публикации: 108
    • Профил
Лимит на връзки със iptables
« Отговор #2 -: Feb 09, 2004, 15:18 »
Drasti

Abslolutno wyzmojno e!
ti si w nqkoi kwartalen LAN   nali?
ako e taka i polzwa6 razni programki za swalqne na koito si im zadal da otwarqt mnogo sesii    namali proq na sesiite i nqma da ima6 problemi

li4no pri men   kolkoto i sesii da otwarqt tiq programki nqma razlika w skorosta na download.
Активен

The computer said,
         Requires Windows or better!
  So I install Linux.
and now:
Linux HellHole 2.4.26-gentoo-r6 #2 Sun Jul 18 12:36:56 EEST 2004 i686 AMD Duron(tm) p AuthenticAMD GNU/Linux

melwin

  • Напреднали
  • *****
  • Публикации: 222
    • Профил
Лимит на връзки със iptables
« Отговор #3 -: Feb 09, 2004, 15:37 »
Може би човека има предвид това:
iptables -t nat -A PREROUTING -i $lan_eth -p tcp --syn --dport http -m iplimit --iplimit-above 5 -j REJECT --reject-with tcp-reset
което ограничава броя на отворените http конекции до 5 след което внимателно уведомява клиента че не може да направи нова конекция (след 5-та)
Естествено възможни са и вариации .. просто предлагам един по-пълен пример за да си наясно къде какво да смениш за свой нужди.
Активен

The second is the basic unit of time. It is the length of time taken for 9192631770 periods of vibration of the caesium-133 atom to occur.

frinko

  • Напреднали
  • *****
  • Публикации: 70
    • Профил
Лимит на връзки със iptables
« Отговор #4 -: Feb 09, 2004, 18:53 »
ei melwin -iplimit ne e li zamaneno s -connlimit veche ?
patch-o-matic -a go niama tva iplimit ?
Активен

saturn_vk

  • Напреднали
  • *****
  • Публикации: 215
    • Профил
Лимит на връзки със iptables
« Отговор #5 -: Feb 09, 2004, 19:24 »
Цитат (melwin @ Фев. 09 2004,16:37)
Може би човека има предвид това:
iptables -t nat -A PREROUTING -i $lan_eth -p tcp --syn --dport http -m iplimit --iplimit-above 5 -j REJECT --reject-with tcp-reset
което ограничава броя на отворените http конекции до 5 след което внимателно уведомява клиента че не може да направи нова конекция (след 5-та)
Естествено възможни са и вариации .. просто предлагам един по-пълен пример за да си наясно къде какво да смениш за свой нужди.

май точно нещо такова ми трябва. проблема е че не знам какво точно разбират под "сесии". Дали включва сборът на upload и download за всякакви протоколи?

а иначе нали мога да прибавя -m iplimit --iplimit-above 5 -j REJECT само към PREROUTING таблицата, без да назовавам ip-тата и протоколите?
Активен

"That is not dead which can eternal lie,
And with strange aeons even death may die."

saturn_vk

  • Напреднали
  • *****
  • Публикации: 215
    • Профил
Лимит на връзки със iptables
« Отговор #6 -: Feb 09, 2004, 19:58 »
Цитат (frinko @ Фев. 09 2004,19:53)
ei melwin -iplimit ne e li zamaneno s -connlimit veche ?
patch-o-matic -a go niama tva iplimit ?

да connlimit e вече.

а между другото, май трябва най новата версия на Iptables за да мога да използвам connlimit, само със patch-o-matic-а не става '<img'>
Активен

"That is not dead which can eternal lie,
And with strange aeons even death may die."

frinko

  • Напреднали
  • *****
  • Публикации: 70
    • Профил
Лимит на връзки със iptables
« Отговор #7 -: Feb 09, 2004, 20:06 »
ami nai-mnogo da triabva i novia userspace za iptables i gotovo...
ako imash 1.2.9 iptables userspace ne ti triabva
Активен

saturn_vk

  • Напреднали
  • *****
  • Публикации: 215
    • Профил
Лимит на връзки със iptables
« Отговор #8 -: Feb 09, 2004, 20:14 »
сложих нов iptables(1.2.9), но не мога да набарам синтаксиса на тоя лимит. някой ще помогне ли? ето какво пиша:

iptables -t nat -A PREROUTING -i ppp0 -m connlimit --connlimit-above 70 -j REJECT

и с това не става:
iptables -t nat -A PREROUTING -p tcp --syn -i ppp0 --dport 80 -m connlimit --connlimit-above 70 -j REJECT

нито пък с това:
iptables -t nat -A PREROUTING -p tcp -i ppp0 -m connlimit --connlimit-above 70 -j REJECT

иначе грешката си е само една: Invalid argument
Активен

"That is not dead which can eternal lie,
And with strange aeons even death may die."

frinko

  • Напреднали
  • *****
  • Публикации: 70
    • Профил
Лимит на връзки със iptables
« Отговор #9 -: Feb 09, 2004, 20:30 »
kato pachnesh iadroto s patch-o-matic-a go kompilirai i pri
menuconfig-a vij dali sa otmetnati match-extensionite koito te interesuvat.

ako gi kompilirash kato moduli  sled tova shte triabva da
napravish insmod connlimit.o , ei ama ne pomnia dali taka se
kazvashe modula

aire uspeh
Активен

saturn_vk

  • Напреднали
  • *****
  • Публикации: 215
    • Профил
Лимит на връзки със iptables
« Отговор #10 -: Feb 09, 2004, 21:25 »
Цитат (frinko @ Фев. 09 2004,21:30)
kato pachnesh iadroto s patch-o-matic-a go kompilirai i pri
menuconfig-a vij dali sa otmetnati match-extensionite koito te interesuvat.

ako gi kompilirash kato moduli  sled tova shte triabva da
napravish insmod connlimit.o , ei ama ne pomnia dali taka se
kazvashe modula

aire uspeh

Мисля че щом ми дава " Invalid argument" като грешка, е ясно на всички че тази част отдавна съм я минал. Но синтаксиса явно не е така.

и модула е ipt_connlimit.o
Активен

"That is not dead which can eternal lie,
And with strange aeons even death may die."

frinko

  • Напреднали
  • *****
  • Публикации: 70
    • Профил
Лимит на връзки със iptables
« Отговор #11 -: Feb 09, 2004, 21:41 »
e-mi sintaksisa ti e pravilen,
moje da probvash v filter tablicata !
Активен

saturn_vk

  • Напреднали
  • *****
  • Публикации: 215
    • Профил
Лимит на връзки със iptables
« Отговор #12 -: Feb 09, 2004, 22:00 »
Цитат (frinko @ Фев. 09 2004,22:41)
e-mi sintaksisa ti e pravilen,
moje da probvash v filter tablicata !

filter tablicata?
Активен

"That is not dead which can eternal lie,
And with strange aeons even death may die."

frinko

  • Напреднали
  • *****
  • Публикации: 70
    • Профил
Лимит на връзки със iptables
« Отговор #13 -: Feb 09, 2004, 22:20 »
probvai  s tva:

iptables -A FORWARD  -p tcp --syn --dport 80 -m connlimit --connlimit-above 70 -j REJECT

ako pak ti dade greshka... predpolagam neshto pacha ne si e svarshil rabotata..... '<img'>  inache niamam drugi idei...

uspeh
Активен

saturn_vk

  • Напреднали
  • *****
  • Публикации: 215
    • Профил
Лимит на връзки със iptables
« Отговор #14 -: Feb 09, 2004, 23:16 »
Цитат (frinko @ Фев. 09 2004,23:20)
probvai  s tva:

iptables -A FORWARD  -p tcp --syn --dport 80 -m connlimit --connlimit-above 70 -j REJECT

ako pak ti dade greshka... predpolagam neshto pacha ne si e svarshil rabotata..... '<img'>  inache niamam drugi idei...

uspeh

хаха, това бачка, значи не съм ги слагал на правилната таблица.

много мерси човече '<img'>

сега само дано да работи както трябва и да ограничава броя на връзките, иначе ще си търся друго ISP '<img'>
Активен

"That is not dead which can eternal lie,
And with strange aeons even death may die."