GURU и IPTABLES

0

0

Есть ли правила вида: iptables -A INPUT -s 192.168.0.1 -d user1 --set value+=1 -j limit_users iptables -A INPUT -s 192.168.0.2 -d user1 --set value+=2 -j limit_users

iptables -A limit_users -d user1 --quotes value<=10 -j ACCEPT iptables -A limit_users -j DROP

Объяню в кратце, как хочу, чтобы были настроены фильтры: если пакет пришел с одного ипа (сети), ставим ему value+=1, если с другого адреса (сети), ставим ему value+=2 и потом перекидыаем дальше по цепочке.

В следующей цепочке мы проверяем, если значение value<=10 значит пропускаем иначе режем.

В общем нужно средствами iptables сделать разграничение по типам подсетей (внутригород\внешка) и при превышении лимита - дропать.

Раньше разграничений не было, просто трафик и все, решалось средствами модуля quote...

Ссылка

←	MPPE/MPPC для 2.6.20

Как убрать вывод msec из syslog'а?

→

Читай документацию (ключевое слово "MARK"), там все есть.

~~sdio~~ ★★★★★
(03.04.07 15:55:55 MSD)

Ответ на: комментарий от sdio 03.04.07 15:55:55 MSD

>Читай документацию (ключевое слово "MARK"), там все есть.

поверь, я iptables очень даже не плохо знаю. :-) с MARK - этого не добиться.

Plazmid
(03.04.07 16:18:47 MSD) автор топика

Ответ на: комментарий от Plazmid 03.04.07 16:18:47 MSD

плохо знаешь...

bsa
(03.04.07 21:09:54 MSD)

Ссылка

Ответ на: комментарий от Plazmid 03.04.07 16:18:47 MSD

mark + quota

   quota
       Implements  network  quotas  by  decrementing  a byte counter with each
       packet.

       --quota bytes
              The quota in bytes.

       KNOWN BUGS: this does not work on SMP systems.

~~sdio~~ ★★★★★
(03.04.07 21:32:16 MSD)

Ответ на: комментарий от sdio 03.04.07 21:32:16 MSD

>mark + quota
Хех, тогда расскажите мне, как реализовать все это на уровне внутригород\внешнка?

Например: баланс = 500 руб, если раньше 1 мб = 2 руб, то ставлю квоту в 250 и не знаю проблем. Дак сейчас внутригород по 1 руб.
т.е. покажите мне правило это правило :-)

в случае с mark - мы не добьемся желаемого эффекта. Вы ведь прекрасно понимете - почему не добьемся? :-)

Plazmid
(04.04.07 07:43:22 MSD) автор топика

Ответ на: комментарий от Plazmid 04.04.07 07:43:22 MSD

гы. Биллинг средствами ИПТАБЛЕСА ... Оригинал Вы, батенька. Следующий шаг - интернет-магазин средствами iptables ?

ovax ★★★
(04.04.07 10:39:38 MSD)

Ответ на: комментарий от ovax 04.04.07 10:39:38 MSD

>гы. Биллинг средствами ИПТАБЛЕСА ... Оригинал Вы, батенька. Следующий шаг - интернет-магазин средствами iptables ?

Просто это очень удобно :-) ни секунды задержки при блокировке :-)

Plazmid
(05.04.07 15:57:28 MSD) автор топика

Ссылка

iptables -t mangle -A PREROUTING -m mark --mark 0x00 -o eth... -m set --set city1 dst,dst -j MARK --set-mark 0xA001 iptables -t mangle -A PREROUTING -m mark --mark 0x00 -o eth... -m set --set city2 dst,dst -j MARK --set-mark 0xA002

iptables -t mangle <USERS-TABLE> -d <userip> -m mark --mark 0xA001 quote.. iptables -t mangle <USERS-TABLE> -d <userip> -m mark --mark 0xA002 quote..

Кроме мануала нужна смекалка и фантазия ;)

anonymous
(06.04.07 00:19:55 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	MPPE/MPPC для 2.6.20

Admin

Как убрать вывод msec из syslog'а?

→

Похожие темы