Komentarze i odpowiedzi, posortowane dla odmiany chronologicznie do strony:
Ograniczanie ilości połączeńdarth
2005-06-15 11:32:43
ip_ct_tcp_timeout_established
ten parametr mozna latwo zmienic komenda sysctl
sysctl net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 7200
Odpowiedź Lemata:
ale tylko w najnowszych kernelach, chyba od 2.4.24 w górę no i w 2.6 - to jest do sprawdzenia
KaMilione
2005-07-20 21:55:03
a co z limitem połączeń na UDP ?
Od kiedy zrobiłem limit połączeń dla natrętnych klientów na TCP do 50 , to oczywiście połączenia tcp spadły, ale teraz w conntracku od 1 klienta mam nawet ponad 1000 połączeń UDP. Moduł connlimit nie działa na udp , czy ktoś wie co by pomogło na UDP ? Tylko nie interesuje mnie całkowite wycinanie P2P !
Odpowiedź Lemata:
zwykły -m limit ? a może jakieś cbq,htb,shaper czy co tam teraz jest na topie?
są też skrypty B@roo
edi
2006-05-12 16:43:59
Ograniczanie ilości połączeń
Witam, nawstępie chciałem pogratulować stronki włąścicielowi, osobiście dużo z niej wyniosłem...
Pytanie jednak brzmi następująca:
czy po wprowadzeniu powyzszych regulek dotyczacych systcla... zostana one zpaisane na zawsze w pamieci "servera" czy tez trzeba je gdzies dopisac aby po uruchomienu....
/pozdrawiam wszystkich
Odpowiedź Lemata:
zapisać gdzieś w /etc/rc.d/
spider
2006-05-31 17:00:12
ten
po uzyciu opcji connlimit pojawia mi sie : no chain/ target/ match by that name
Odpowiedź Lemata:
pewnie nie masz w ogóle tego modułu lub masz stare jądro i nazywa się on iplimit
matijen
2007-01-24 10:47:29
Brak eth0 dziwne
Zapodaje linijkę iptables -A FORWARD -p tcp -s eth0 -o eth1 --dport 1024:65535 -m iplimit --iplimit-above 20 -j DROP i kupa :( dostaje odpowiedź
iptables v1.2.7a: host/network `eth0' not found
Try `iptables -h' or 'iptables --help' for more information.
A przecież necik chodzi i karty też ... co jest ???
Odpowiedź Lemata:
nic dziwnego, po -s daje się zakres sieci a nie interfejs
wtf
2012-11-14 20:52:54
ograniczenie polaczen
Zalozmy wiec ze probuje ograniczyc polaczenia na portach 1024:65535 do 20
no to: iptables -I FORWARD -p tcp -s 192.168.0.0/23 -o eth0 --dport 1024:65535 -m connlimit --connlimit-above 20 -j DROP
teraz tak, czy ta regula ogranicza połączenia do 20 dla calej podsieci? czy tez 20 na ip w tej podsieci? intersuje mnie aby kazdy ip z tej podsieci mogl nawiazac maksymalnie do 20 polaczen na portach które wymieniłem wczesniej.
Znasz może jeszcze inne sposoby na ograniczenie p2p? w mojej sieci generuje to bardzo duzy ruch i obciazenie sprzetu.
Pozdrawiam
no to: iptables -I FORWARD -p tcp -s 192.168.0.0/23 -o eth0 --dport 1024:65535 -m connlimit --connlimit-above 20 -j DROP
teraz tak, czy ta regula ogranicza połączenia do 20 dla calej podsieci? czy tez 20 na ip w tej podsieci? intersuje mnie aby kazdy ip z tej podsieci mogl nawiazac maksymalnie do 20 polaczen na portach które wymieniłem wczesniej.
Znasz może jeszcze inne sposoby na ograniczenie p2p? w mojej sieci generuje to bardzo duzy ruch i obciazenie sprzetu.
Pozdrawiam
Odpowiedź Lemata:
20 połączeń na całą sieć /23. Potrzebny ci jakiś traffic shaper
wtf
2012-11-14 23:14:46
connlimit
Aktualnie uzywam HTB + SFQ i tam limituje caly ruch w zaleznosci od grupy, srednio 4mb/s przypada na usera przy 2k userow.
Czytalem manuala i przyznam ze troche nie zrozumialem jak przy uzyciu connlimit ograniczyc ruch per user oczywiscie nie wpisujac recznie 500+ regul do fw;]
Dodajac do tego --connlimit-mask 32?
Czytalem manuala i przyznam ze troche nie zrozumialem jak przy uzyciu connlimit ograniczyc ruch per user oczywiscie nie wpisujac recznie 500+ regul do fw;]
Dodajac do tego --connlimit-mask 32?
Odpowiedź Lemata:
pewnie tak
![[Nospam-PL.NET]](banners/nospn_125x60_2.png "strona http://nospam-pl.net/")
