ipfw limit

[LMik]

Посоветоваться хотел.

В стенке забиты таблички и правила типа

Код: Выделить всё

ipfw add pipe xxx all from table(1) to table(2)

труба при этом динамическая.

Если я допишу в конец limit 20 это подействует на динамические пайпы или на всю кучу ипов в таблице?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[LMik]

Блин, неужели ipfw не может динамически ограничивать сессии per ip?

[terminus]

Код: Выделить всё

     limit {src-addr | src-port | dst-addr | dst-port} N
	     The firewall will only allow N connections with the same set of
	     parameters as specified in the rule.  One or more of source and
	     destination addresses and ports can be specified.	Currently,
	     only IPv4 flows are supported.

По ходу, залимитятся IP в пайпе, а не сами пайпы.

---

Я что-то слышал что в 7.0 limit вроде поломан (?). Где-то в листах проскакивало...

[LMik]

Код: Выделить всё

     limit {src-addr | src-port | dst-addr | dst-port} N
	     The firewall will only allow N connections with the same set of
	     parameters as specified in the rule.  One or more of source and
	     destination addresses and ports can be specified.	Currently,
	     only IPv4 flows are supported.

По ходу, залимитятся IP в пайпе, а не сами пайпы.

---

Я что-то слышал что в 7.0 limit вроде поломан (?). Где-то в листах проскакивало...

Угу, я вот и спрашиваю мож кто сталкивался. Никак не вникну в фразу, "with the same set of parameters". По идее для каждого параметра, а т.к в параметре динамическая труба... вобщем хз

[terminus]

limit - это динамические keep-state правила (только размер таблицы правил ограничен указанным числом строк).

Про keep-state:

If the ruleset includes one or more rules with the keep-state or limit
option, then ipfw assumes a stateful behaviour, i.e., upon a match it
will create dynamic rules matching the exact parameters (addresses and
ports) of the matching packet.

-Работает только с IP и номерами портов.

Значит на пайпы не действует.

[LMik]

limit - это динамические keep-state правила (только размер таблицы правил ограничен указанным числом строк).

Про keep-state:

If the ruleset includes one or more rules with the keep-state or limit
option, then ipfw assumes a stateful behaviour, i.e., upon a match it
will create dynamic rules matching the exact parameters (addresses and
ports) of the matching packet.

-Работает только с IP и номерами портов.

Значит на пайпы не действует.

эм хм.... т.е перед заворотом в трубу надо добавить правило которое будет лимиты делать чтоль