connlimit nie ogranicza...

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

greyfrut
Użytkownik
Posty: 34
Rejestracja: 2005-10-21, 11:45
Kontakt:

connlimit nie ogranicza...

Post autor: greyfrut »

mam regułki odpowiadajace za ograniczenia ilości połaczeń dla p2p za pomocą modułu ipp2p
ale tak testowałem i sprawdzałem, nie działają one, co może być nie tak?

Kod: Zaznacz cały

#iptables -t filter -I FORWARD -p tcp -s 192.168.0.11 -m connlimit --connlimit-above 100 -j REJECT
iptables -t filter -I FORWARD -p tcp -s 192.168.0.11 -m ipp2p --ipp2p -m connlimit --connlimit-above 20 -j DROP
iptables -t filter -I FORWARD -p tcp -d 192.168.0.11 -m ipp2p --ipp2p -m connlimit --connlimit-above 20 -j DROP
iptables -t filter -I FORWARD -d 192.168.0.11 -m limit --limit 2/s -m ipp2p --ipp2p -j DROP
iptables -t filter -I FORWARD -s 192.168.0.11 -m limit --limit 2/s -m ipp2p --ipp2p -j DROP
iptables -t filter -I FORWARD -d 192.168.0.11 -m limit --limit 2/s -m ipp2p --ipp2p -j DROP
iptables -t filter -I FORWARD -s 192.168.0.11 -m limit --limit 2/s -m ipp2p --ipp2p -j DROP

połączenia p2p nie są ograniczone do podanej wartości

[ Komentarz dodany przez: loop0: 2006-03-13, 09:34 ]
Używaj code następnym razem ;)

Ortografia !
Ostatnio zmieniony 2006-03-19, 23:41 przez greyfrut, łącznie zmieniany 3 razy.
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: connlimit nie ogranicza...

Post autor: snaj »

Bo moze paczki w ogole w te regulki nie zagladaja ?
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
greyfrut
Użytkownik
Posty: 34
Rejestracja: 2005-10-21, 11:45
Kontakt:

Re: connlimit nie ogranicza...

Post autor: greyfrut »

hmm...tzn? jak to? można jaśniej??
Koriolan
Użytkownik
Posty: 93
Rejestracja: 2004-12-16, 11:47

Re: connlimit nie ogranicza...

Post autor: Koriolan »

Ja mam tak:

Kod: Zaznacz cały

    # Dodatkowe ograniczenie  192.168.0.165
    $i -A FORWARD -s 192.168.0.165/16 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 20
         --connlimit-mask 5 -j LOG     -m limit --limit 2/hour --log-prefix "Il.pol. "
    $i -A FORWARD -s 192.168.0.165/16 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit  --connlimit-above 20
         --connlimit-mask 5 -j DROP
Zauwazylem, ze on obcina ale z pewna bezwladnoscia. Stad jak kaza otwiera 100 polaczen na sek to connlimit nie do konca NATYCHMIAST potrafi je zamknac i rownowaga ustala sie na wyzszym poziomie; powiedzmy 50 polaczen. Kaza ciagle otwiera a connlimit ciagle zamyka.

Jak wykrywam cos takiego to prosze usera o zmniejszenie ilosci polaczen, a nawet mu mowie jak to zrobic a jak nie rozumie to scinam go do 5 polaczen i jego kaza nic nie ciagnie tylko otwiera kolejne polaczenia a o stronkach nie ma nawet mowy co doglebnie uswiadamia mu, ze ilosc polaczen TRZEBA ograniczyc.

Dodatkowo napisalem skrypcik pokazujacy ilosci polaczen. Jest on dla NN (starego NND) ale powinien chodzi kazdemu co ma conntrack
http://www.pitsoft.pl/nnd/download/NND_ ... k-beta.tar
lub
http://195.116.234.1/nnd/download/NND_p ... k-beta.tar
(serwer jest slabawy wiec trzeba miec szczescie)
greyfrut
Użytkownik
Posty: 34
Rejestracja: 2005-10-21, 11:45
Kontakt:

Re: connlimit nie ogranicza...

Post autor: greyfrut »

czy kolejność uruchamianych skryptów ma znaczenie? chodzi mi o to ze u mnie jest tak po kolei dopisane do rc.local:
1)najpierw mam blokade niektórych prog.p2p ( ipp2p tym sie zajmuje )
2) potem mam włączenie maskarady dla userów ( w maskaradzie mam: forward pakietow , blokade udost.neta TTL=1, polaczenia ESTABLISHED,RElATED, itp)
3) potem uruchamiam dhcpd eth0
4) powiazanie ip + mac : arp -f
5) limity polaczeń dla userów
6) przekirowania portów dla programow
7) lstat
8) apache
9) miniserv
10) niceshaper


może coś jest zle w kolejnosci uruchamiania poleceń? moze niektóre regułki sie dubluja i powstaje mętlik

Ortografia !
Ostatnio zmieniony 2006-03-19, 23:39 przez greyfrut, łącznie zmieniany 1 raz.
Koriolan
Użytkownik
Posty: 93
Rejestracja: 2004-12-16, 11:47

Re: connlimit nie ogranicza...

Post autor: Koriolan »

Na pewno ma znaczenie pytanie tylko jakie ?
Trzeba sprawdzać jak uruchamiane demony zmieniają tablicę "iptables".
Trzeba się an tym nieźle znać. Ja jestem za słaby :-(
Jedyna podpowiedź to uruchom iptables z opcją "-v" zobaczysz jakie regułki wychwytują ruch i ile tego ruchu.
Porównaj też w jakiej są kolejności.
Ostatnio zmieniony 2006-03-20, 13:06 przez Koriolan, łącznie zmieniany 2 razy.
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: connlimit nie ogranicza...

Post autor: miszmaniac »

Wydaje mi się, ze robisz błąd, że ipp2p dajesz na początek.
Najprawdopodobniej w regułkach właczania maskarady czyścisz na początku tablice, wyglada to tak:

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

Reszta moze raczej tak być i nie powinno być konfliktów.
greyfrut
Użytkownik
Posty: 34
Rejestracja: 2005-10-21, 11:45
Kontakt:

Re: connlimit nie ogranicza...

Post autor: greyfrut »

zgadza sie mam czyszczenie reguł firewalla, ale to sie odbywa na poczatku, regułki ograniczajace daje na końcu....

Ortografia !
Ostatnio zmieniony 2006-03-19, 23:37 przez greyfrut, łącznie zmieniany 1 raz.
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: connlimit nie ogranicza...

Post autor: miszmaniac »

Możliwe, że twoj skrypt niceshaper, ktory uruchamiasz pozniej mąci coś. Jeśli uzywasz ipp2p i do tego skryptu który markuje pakiety, to chyba najlepiej by było zrobić albo dopisać po prostu pakiety z ipp2p do ostatniej kolejki i to by chyba bardziej rozwiązało sprawe, bo z mojego doświadczenia wiem, że dla nie dużej ilości kompow (mam sieć 20), nie trzeba ograniczać ilości połączeń jeśli się odpowiednio steruje ruchem.
Przeszukaj swój skrypt niceshaper i poszukaj linijek ktore mają MARK i dopisz gdzieś tam:

iptables -t mangle -A "nazwa twojego łańcucha np. niceshaper" -p tcp -m ipp2p --ipp2p -j MARK --set-mark (numer najwyższej kolejki u mnie 26)

A 2 rzecz, to polecam Ci IMQ, bo chyba niceshaper tego nie używa, a w ten sposób dużo łatwiej kierować ruchem..
greyfrut
Użytkownik
Posty: 34
Rejestracja: 2005-10-21, 11:45
Kontakt:

Re: connlimit nie ogranicza...

Post autor: greyfrut »

nie uzywam IMQ, choć mam to wkompilowane. czy w tej sytuacji uzywa sie "-t mangle" czy "-t filter" ?
Awatar użytkownika
bzyk
Moderator w st. spocz.
Posty: 991
Rejestracja: 2004-06-05, 06:32
Lokalizacja: Pszczyna
Kontakt:

Re: connlimit nie ogranicza...

Post autor: bzyk »

W tej sytuacji używa się pliku README.
In /dev/null no one can hear you scream.
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: connlimit nie ogranicza...

Post autor: miszmaniac »

Jakbyś zajrzał na strone IMQ to tam jest cały mini skrypt napisany z wyjaśnieniem jak to zastosować:

http://www.linuximq.net/usage.html
ODPOWIEDZ