ipfw и ограничение колличества сессий

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
skeletor
майор
Сообщения: 2464
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

ipfw и ограничение колличества сессий

Непрочитанное сообщение skeletor » 2009-03-02 19:03:00

Есть связка ipfw+ipnat. Есть несколько качков, которые переполняют таблицу ipnat'a. Вопрос, как ограничить количество сессий с помощью ipfw? Пробовал через limit src-addr/dst-addr, но что-то ничего не помогает.
Как всё-таки можно ограничить?

FreeBSD 6.1.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Re: ipfw и ограничение колличества сессий

Непрочитанное сообщение RusBiT » 2009-03-03 11:19:11

Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Аватара пользователя
skeletor
майор
Сообщения: 2464
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfw и ограничение колличества сессий

Непрочитанное сообщение skeletor » 2009-03-03 11:43:26

Спасибо, но к сожалению я уже так пробовал. И у меня не срабатывает src-addr. Количество коннектов всё равно больше допустимого :(
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Re: ipfw и ограничение колличества сессий

Непрочитанное сообщение RusBiT » 2009-03-03 18:57:43

Как я понимаю вам надо ограничить по портам, адресам источников и получателей (src-dst-addr-port), тогда смотрите в сторону pf.
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ipfw и ограничение колличества сессий

Непрочитанное сообщение schizoid » 2009-03-05 10:57:04

Код: Выделить всё

/sbin/ipfw add  allow ip from any to any via rl0 limit src-addr 40
rl0 - локальный
на каждый ИП из сети не более 40 сессий (UDP и TCP)
работает
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Re: ipfw и ограничение колличества сессий

Непрочитанное сообщение RusBiT » 2009-04-15 18:07:00

Нашел сегодня одного активного торрент пользователя. Решил провести экспримент, ng67 - его интерфейс.

Код: Выделить всё

ipfw add 47 allow log logamount 100 ip from any to any via ng67 limit dst-addr 1
ipfw add 48 allow log logamount 100 ip from any to any via ng67 limit dst-port 1
ipfw add 49 allow log ip from any to any via ng67 limit src-port 1
Но trafshow показывает 170-250 пакетов :( Трафик идет. Что не так делаю?
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ipfw и ограничение колличества сессий

Непрочитанное сообщение schizoid » 2009-04-21 15:32:42

а ipfw -d show что говорит?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Re: ipfw и ограничение колличества сессий

Непрочитанное сообщение abanamat » 2009-04-21 15:42:55

RusBiT писал(а):Но trafshow показывает 170-250 пакетов :( Трафик идет. Что не так делаю?
ipfw show 49 счетчик пакетиков ненулевой?

derikpro
проходил мимо
Сообщения: 3
Зарегистрирован: 2011-01-14 11:37:02

Re: ipfw и ограничение колличества сессий

Непрочитанное сообщение derikpro » 2012-12-25 17:35:39

Подскажите, похоже что проблема такая же как и у автора темы.
Правила:

Код: Выделить всё

${cmd} add divert 8668 ip from ${NetIn} to any via ${IfOut}                    
${cmd} add divert 8668 ip from any to ${IpOut} via ${IfOut}
${cmd} add allow all from 10.18.2.0/24 to any                                  
${cmd} add allow all from any to 10.18.2.0/24

Код: Выделить всё

ipfw -d show | grep 10.18.2.0
09700    49     6041 allow ip from 10.18.2.0/24 to any
09800    96    87404 allow ip from any to 10.18.2.0/24
Работает.
---------------------------------------------------------------------------------------
Добавляю лимит и перестает работать. С клиентского компа смотрю что сессии вообще не устанавливаються.

Код: Выделить всё

${cmd} add divert 8668 ip from ${NetIn} to any via ${IfOut}                    
${cmd} add divert 8668 ip from any to ${IpOut} via ${IfOut}
${cmd} add allow all from 10.18.2.0/24 to any  limit dst-addr 50                                 
${cmd} add allow all from any to 10.18.2.0/24 

Код: Выделить всё

ipfw -d show | grep 10.18.2.0
09700   108     5440 allow ip from 10.18.2.0/24 to any limit dst-addr 50
09800    16      748 allow ip from any to 10.18.2.0/24
Не работает