LINUX.ORG.RU
решено ФорумAdmin

Узнать количество открытых NAT соединений на IP

 ,


0

1

Всем доброго времени суток!

Подскажите, как на NAT-сервере узнать, сколько подключений в данный момент установлено с каждого IP-клиента?

В гугле не нашёл.

Ситуация, такая: есть сетка, компов на 200, территориально раскиданная на 4 км^2, ну, может, чуть поменьше. И в сетке есть узкие места. Так, что если пользователь включает торрент на много потоков, то вся сетка начинает тормозить (свитчи-то не циски, столько открытых соединений поддерживать).

Народ, вцелом, вменяемый, все готовы ограничить свои торренты одним-двумя потоком, но отследить это не могут, а что скорость на IP всё равно ограничена, так это не объяснить. Так вот есть задача находить «хулигана» с большим количеством соединений, звонить, объяснять или просто обрывать соединения с блокировкой пользователя, если это оставленный в закрытом доме комп. Сейчас отслеживаю с помощью iptraf, но прикидывать количество соединений приходится на глазок. По объёму трафика не определишь — скорость на IP ограничена по-разному.

Блокировать количество соединений не предлагать — при 6 потоках не грузятся некоторые сложные сайты, а при 15 два «хулигана» уже практически вешают сеть. Так что всё равно ловить. И биться за компьютерную грамотность.

★★★★★

Свитчи умирают не из-за кол-ва соединений (т.к. они их не отслеживают), а из-за объема трафика в секунду. Как мне кажется, разумнее будет настроить шейпинг на NAT-сервере. При помощи tc можно создавать многоуровневые дисциплины, так что гибкости должно хватить.

anonymous ()
Ответ на: комментарий от ii343hbka

Последнее обновление проекта — 2010 год. Он даже не собирается у меня. Пробовал.

2 vel: Спасибо! То, что надо:

conntrack -L | grep 192.168.1.196 | wc -l

2 anonymous: шейпинг настроен и прекрасно работает. Объём трафика значительный, но если в сети только один пользователь, который выбирает весь канал, то всё работает нормально, а если 100, то объём пропускаемого свитчами трафика резко падает. Объяснишь?

fractaler ★★★★★ ()
Ответ на: комментарий от fractaler

Простые коммутаторы не знают про соединения. Они знают только про мас-адреса.

Производительность коммутаторов резко падает если исчерпывается таблица MAC-адресов.

Поделите сети на vlan-ы/подсети.

vel ★★★★★ ()
Ответ на: комментарий от vel

Простые коммутаторы не знают про соединения. Они знают только про мас-адреса.

Хм... Ну не может же память коммутатора исчерпаться на 200 адресах... При 2Кб памяти. Поищу ещё узкие места.

fractaler ★★★★★ ()
Ответ на: комментарий от fractaler

Где-то нужно взять управляемый коммутатор, воткнуть в середине сетки и посмотреть статистику по портам пакетов/броадкастов/ошибок. Да и число МАС-ов можно посмотреть.

Нет ли где старых коммутаторов, которые под нагрузкой начинают либо мусор гнать либо дропать пакеты (обычно из-за помирающего БП).

vel ★★★★★ ()
Ответ на: комментарий от vel

Да, давно собираюсь именно это сделать, да всё никак руки не дойдут управляемый свитч купить. Да и денег жалко. Ничего, скоро сделаю.

Ещё раз спасибо за помощь! Пользуясь conntrack выловил два завирусованных компьютера с офтопиком в сетке.

fractaler ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.