IPNAT

RAGNAR · Непрочитанное сообщение **RAGNAR** » 2009-12-07 3:58:42

есть такой вопрос по ограничению ссесий для машин. сколько достаточно открыть портов клиену для нармаьлной работы?
имеет ли смысел это делать?

ipnat.rule

Код: Выделить всё

map tun0 192.168.0.10/32 -> 95.95.95.95/32 portmap tcp/udp 10000:10010
map tun0 192.168.0.12/32 -> 95.95.95.95/32 portmap tcp/udp 10020:10030

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

schizoid

я своим по 40 оставляю.
если качают много торрентов, то тупит весь остальной инет. по-этому пользователь сам ищет компромис, выставляя себе меньшее количество сессий в торренте, для комфортной работы в инете. ну и мне хорошо, не забивают канал.
тока я про сессии говорю:

Код: Выделить всё

allow ip from 10.10.10.0/29,192.168.10.0/24,192.168.11.0/24,192.168.2.0/24 to any via rl1 limit src-addr 40

skeletor

schizoid писал(а):
Код: Выделить всё
allow ip from 10.10.10.0/29,192.168.10.0/24,192.168.11.0/24,192.168.2.0/24 to any via rl1 limit src-addr 40

У меня этот вариант для торрентов не прокатил, как открывали по пару тысяч соединений, так и продолжают открывать. Пробовал все варианты с limit (src, dst) не влияет.

А вот насчёт ограничений в самом ipnat'e - это идея, нужно проверить.

RAGNAR · Непрочитанное сообщение **RAGNAR** » 2009-12-07 12:40:39

вобщем то вопрос про торент и стоял... инет вешают канкретно. попробую с ipfw правилом... посмотрим что получиться.

schizoid

skeletor писал(а):
schizoid писал(а):
Код: Выделить всё
allow ip from 10.10.10.0/29,192.168.10.0/24,192.168.11.0/24,192.168.2.0/24 to any via rl1 limit src-addr 40
У меня этот вариант для торрентов не прокатил, как открывали по пару тысяч соединений, так и продолжают открывать. Пробовал все варианты с limit (src, dst) не влияет.

А вот насчёт ограничений в самом ipnat'e - это идея, нужно проверить.

у мну дропаются лишние сессии...

Код: Выделить всё

Dec  7 11:52:38 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 125.233.248.197:9822, too many entries
Dec  7 11:52:40 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 85.173.221.240:42124, too many entries
Dec  7 11:52:42 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 119.246.108.87:24482, too many entries
Dec  7 11:52:43 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 189.41.132.167:32467, too many entries
Dec  7 11:52:46 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 76.125.245.212:34617, too many entries
Dec  7 11:52:46 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 41.234.189.77:40900, too many entries
Dec  7 11:52:48 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 117.195.36.47:48953, too many entries

RAGNAR · Непрочитанное сообщение **RAGNAR** » 2009-12-07 13:06:30

вот интересно куда его по смыслу ставить? это правило. vr0 внутренний интерф. или имелось ввиду внешний?
${ipfw} add xxx allow ip from 192.168.1.0/24 to any via vr0 limit src-addr 10

Код: Выделить всё

${ipfw} add 210 allow ip from any to 192.168.1.0/24 iplen 0-500 src-port 80
${ipfw} add 212 allow ip from any to 192.168.1.0/24 tcpflags ack iplen 0-128

${ipfw} add 220 pipe 1 ip from not 192.168.1.0/24 to 192.168.1.0/24 out
${ipfw} add 222 pipe 2 ip from 192.168.1.0/24 to not me in

${ipfw} add 250 allow ip from any to any via vr0       //  локалка
${ipfw} add 1210 allow ip from any to any via tun0   // интернет локалка

schizoid

Код: Выделить всё

allow ip from any to any via rl0 limit src-addr 40

это для внутренних клиентов.
то, что выше было для внешних, типа филиалов... не заморачивайся.
т.е. я режу на внутреннем интерфейсе. rl0 - внутренний

skeletor

schizoid писал(а):
skeletor писал(а):
schizoid писал(а):
Код: Выделить всё
allow ip from 10.10.10.0/29,192.168.10.0/24,192.168.11.0/24,192.168.2.0/24 to any via rl1 limit src-addr 40
У меня этот вариант для торрентов не прокатил, как открывали по пару тысяч соединений, так и продолжают открывать. Пробовал все варианты с limit (src, dst) не влияет.

А вот насчёт ограничений в самом ipnat'e - это идея, нужно проверить.
у мну дропаются лишние сессии...
Код: Выделить всё
Dec  7 11:52:38 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 125.233.248.197:9822, too many entries
Dec  7 11:52:40 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 85.173.221.240:42124, too many entries
Dec  7 11:52:42 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 119.246.108.87:24482, too many entries
Dec  7 11:52:43 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 189.41.132.167:32467, too many entries
Dec  7 11:52:46 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 76.125.245.212:34617, too many entries
Dec  7 11:52:46 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 41.234.189.77:40900, too many entries
Dec  7 11:52:48 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 117.195.36.47:48953, too many entries

А я смотрю не так: смотрю по количеству открытых одновременно сессий. Или это не то?

schizoid

по ESTABLISHED ?

schizoid

Код: Выделить всё

# tail -f /var/log/security
Dec  7 12:18:22 gate kernel: ipfw: 1400 Deny UDP 90.48.70.68 192.168.30.2 in via sk0 (frag 44494:85@1480)
Dec  7 12:18:26 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 76.97.61.23:62818, too many entries
Dec  7 12:18:26 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 213.7.74.26:59873, too many entries
Dec  7 12:18:29 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 70.244.62.190:40284, too many entries
Dec  7 12:18:30 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 67.166.140.195:13070, too many entries
Dec  7 12:18:42 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 92.86.182.119:27465, too many entries
Dec  7 12:18:43 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 188.36.171.208:7877, too many entries
Dec  7 12:18:44 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 94.24.177.250:56406, too many entries
Dec  7 12:18:45 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 74.240.204.109:33209, too many entries
Dec  7 12:18:46 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 95.84.152.111:40456, too many entries
Dec  7 12:19:00 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 85.134.111.73:19288, too many entries
Dec  7 12:19:01 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 88.130.185.109:56705, too many entries
Dec  7 12:19:03 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 121.214.175.105:16119, too many entries
Dec  7 12:19:14 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 87.79.62.243:42571, too many entries
Dec  7 12:19:15 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 77.194.160.179:46960, too many entries

хотя в тоже время:

Код: Выделить всё

# netstat -n| grep 192.168.0.253
tcp4       0      0 74.125.104.18.80       192.168.0.253.49090    ESTABLISHED
tcp4       0      0 74.125.87.101.80       192.168.0.253.40138    ESTABLISHED
tcp4       0      0 192.168.0.150.21       192.168.0.253.44549    ESTABLISHED

skeletor

А я смотрю через ipnat -l . Как всё-таки правильно смотреть?

schizoid

а, а у меня ipfw nat...
где истина ...

RAGNAR · Непрочитанное сообщение **RAGNAR** » 2009-12-08 22:27:40

можно посматреть как дропаються пакеты в реале

# tail -f /var/log/security

а как посматреть сесии каторые не дропаються, каторые пропускаються?

forum.lissyara.su

IPNAT

IPNAT

Услуги хостинговой компании Host-Food.ru

Re: IPNAT

Re: IPNAT

Re: IPNAT

Re: IPNAT

Re: IPNAT

Re: IPNAT

Re: IPNAT

Re: IPNAT

Re: IPNAT

Re: IPNAT

Re: IPNAT

Re: IPNAT