LINUX.ORG.RU
ФорумAdmin

как правильно юзать connlimit если у меня поднят NAT ?


0

0

значит такая ситуевина :

юзаем NAT

/sbin/iptables -A FORWARD -s 192.168.0.0/24 -d Х1 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -s Х1 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d Х1 -j MASQUERADE

и тд , где X - это списки сетей к которым есть полный ( NAT ) доступ для клиента .

Для тех кто круче юзается

/sbin/iptables -A FORWARD -s KL_IP -d 0/0 -j ACCEPT
/sbin/iptables -A FORWARD -d KL_IP -s 0/0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s KL_IP -d 0/0 -j MASQUERADE

С реальными ИП адресами ситуация такая :

sbin/iptables -A FORWARD -s IP_kl -d 0/0 -j ACCEPT
sbin/iptables -A FORWARD -d IP_kl -s 0/0 -j ACCEPT


Все политики по умолчанию - DROP .

+ поднят роутинг при помощи iproute на основании src IP .

eth0 - интерфейс смотрящий в нэт
eth1 и eth2 - интерфейсы идущие ко второму шлюзу а дальше в локалку - проще говоря с eth1 идет трафик локальный(страны) а с eth2 мировой . Это сделано для разграничения скорости про помощи HTB , можно мировой зажать а локального дать поболе .

Ну , вобщем народ борзый , ктото флашгетами , а ктото доблестными вирусняками .... напрягает канал . Неограниченое число пакетов - не есть хорошо . Надо резать . Дык вот я никак не могу врубиться - куда мне нужно вписать правильно правило для ограничения пакетов ДЛЯ КАЖДОГО ИП ИНДИВИДУАЛЬНО - и как его правильно вписать ? (например дать кадому клиенту 3 пакета в сек , и кстати - какой оптимальный вариант для кошерного юзанья IE ? )

anonymous

> Дык вот я никак не могу врубиться - куда мне нужно вписать правильно правило для ограничения пакетов ДЛЯ КАЖДОГО ИП ИНДИВИДУАЛЬНО

Если речь идет об iptables -m limit, то им лучше не резать канал, оно предназначенно для более простых вещей. Фактически на каждого пользователя нужно заводить отдельную очередь/полосу пропускания.

То есть создавать правило(правила) ДЛЯ КАЖДОГО ИП ИНДИВИДУАЛЬНО.

>какой оптимальный вариант для кошерного юзанья IE

Для IE лучше всего прокси :)) Squid позволяет ограничивать скорости закачки, плюс его можно настроить, чтобы скорость падала в зависимости от объема --- маленькие картики грузятся быстро, а архивы качаются медленно...

mky ★★★★★
()
Ответ на: комментарий от mky

не надо мне прокси , мне надо ограничить количество пакетов в сек . Прокся - это х*я , у нас доступ полный , поэтому я и хочу ограничить количество пакетов в сек при помощи connlimit . Только я не знаю в какую цепочку писать правила и как оно должно выглядеть для каждого ип индивидуально - для тех ип у которых NAT и для REAL_IP . Причем ограничить надо макс колво пакетов как входящих так и исх .

anonymous
()

>eth1 и eth2 - интерфейсы идущие ко второму шлюзу а дальше в локалку - проще говоря с eth1 идет трафик локальный(страны) а с eth2 мировой . Это сделано для разграничения скорости про помощи HTB , можно мировой зажать а локального дать поболе .

Не понял. И, кстати, нах тебе -m limit, если у тебя HTB используется?

>например дать кадому клиенту 3 пакета в сек , и кстати - какой оптимальный вариант для кошерного юзанья IE ?

а ты уверен, что не путаешь ограничение по сессиям и ограничение по объему?

fagot ★★★★★
()
Ответ на: комментарий от fagot

(фагот - я про connlimit)

нет не путаю . зачем мне такая радость когда клиент имеет 32 кбайта максимум - он запускает 200 сессий флашгетом . Еще сидит и радуется ...... :( Не смотря на то что у него нихера при этом не качается , скорость стоит забитой , и напрягает канал попусту !

А вирусы ? Ну блин , делать надо все по уму - ограничивать как скорость , так и мах количество пакетов в сек .

>>>
connlimit v1.2.9 options:
[!] --connlimit-above n match if the number of existing tcp connections
is (not) above n
--connlimit-mask n group hosts using mask
>>>

вот как это использовать , и в какую цепочку это писать ? До нат , после нат , в форвард , построутинг , прероутинг , и как ?

Можно примерчик .

PS: если вы не знаете как , просто воздержитесь от коментариев не по сути вопроса .

anonymous
()
Ответ на: комментарий от anonymous

>eth1 и eth2 - интерфейсы идущие ко второму шлюзу а дальше в локалку - проще говоря с eth1 идет трафик локальный(страны) а с eth2 мировой . Это сделано для разграничения скорости про помощи HTB , можно мировой зажать а локального дать поболе .


не знаю как обяснить , косноязычно , но пакеты разделяются по SRC IP , в зависимости откуда он пришел на eth0 он разделяется как мировой и местный и поступают дальше в сеть .

HTB не решает проблему неуемного количества пакетов в сек от клиента .


Повторюсь - мне надо ограничить максимальное колво пакетов в сек от клиента и к клиенту ! Т.е. для каждого ИП . Реальных ИП и тех для которых поднят НАТ .

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin