Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2008-10-13 16:48:19
Код: Выделить всё
/sbin/ipfw add allow ip from 192.168.0.1/24 to any keep-state limit src-addr 10
запретит каждому абоненту сети 192.168.0.1:255.255.255.0 устанавливать более 10 соединений одновременно. Параметр src-addr указывает, что ограничение считается по адресам источников пакетов (т.е. в нашем примере - для каждого пользователя). Допустимые значения этого параметра: dst-addr (ограничение подсчитывается по адресам назначения), src-port (ограничение подсчитывается по портам источника), dst-port (ограничение подсчитывается по портам назначения), а также любые комбинации этих параметров, например, limit dst-port dst-addr 1 позволит установить только одно соединение с любым портом любого сервера, при этом можно будет установить несколько соединений с одним сервером (например, HTTP, SMTP и POP3 одновременно) и неколько соединений на один порт различных серверов (например, одновременно скачивать
www.anekdot.ru и
www.hub.ru).
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
RusBiT
- лейтенант
- Сообщения: 635
- Зарегистрирован: 2007-08-03 11:43:53
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
RusBiT » 2008-10-13 18:40:47
Дык , не работает.
Код: Выделить всё
ipfw: only one of keep-state andlimit is allowed
Как понимаю из за nat'а
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером
RusBiT
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2008-10-13 18:44:36
а ..гыг...дык эта, или лимит или кипстейт
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
LMik
- капитан
- Сообщения: 1852
- Зарегистрирован: 2007-07-17 9:14:39
- Откуда: МО
-
Контактная информация:
Непрочитанное сообщение
LMik » 2008-10-13 20:22:04
RusBiT писал(а):Блин , как вообще ввести глобальное ограничение на количество сессий для каждого ip который проходит на роутере?
Видимо вирус новый какой то..
подавить нат
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!
LMik
-
zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
-
Контактная информация:
Непрочитанное сообщение
zingel » 2008-10-14 8:29:27
Z301171463546 - можно пожертвовать мне денег
zingel
-
RusBiT
- лейтенант
- Сообщения: 635
- Зарегистрирован: 2007-08-03 11:43:53
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
RusBiT » 2008-10-14 17:54:15
Непомогает
Код: Выделить всё
user# ipfw add 65500 deny log udp from any to any
65500 deny log logamount 100 udp from any to any
user# ipfw 10 add allow ip from 192.168.10.1/24 to any keep-state limit src-addr 10
ipfw: only one of keep-state andlimit is allowed
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером
RusBiT
-
RusBiT
- лейтенант
- Сообщения: 635
- Зарегистрирован: 2007-08-03 11:43:53
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
RusBiT » 2008-10-14 18:07:16
Если же просто
Код: Выделить всё
allow ip from 192.168.10.2 to any limit src-addr 10
, то все нормально срабатывает.
Просто не разумно для каждого ip писать одно и тоже
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером
RusBiT
-
RusBiT
- лейтенант
- Сообщения: 635
- Зарегистрирован: 2007-08-03 11:43:53
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
RusBiT » 2008-10-14 18:46:07
Код: Выделить всё
ipfw add allow tcp from 10.10.10.0/24 to any via fxp1 setup limit src-addr 10
ipfw add allow tcp from any to me limit src-addr 4
Данное правило ограничивает число соединений, которое может быть открыто пользователем. Брандмауэр (предполагается, что он запущен на шлюзе) разрешает каждому хосту в сети 10.10.10.0/24 открыть максимум 10 соединений. Кроме того, брандмауэр может может быть настроен на сервер так, чтобы убедиться, что один клиентский компьютер совершает не более четырех одновременных соединений.
http://ipfw.ism.kiev.ua/prim.html
Сейчас батарея почти села. Завтра после учебы проверю
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером
RusBiT
-
RusBiT
- лейтенант
- Сообщения: 635
- Зарегистрирован: 2007-08-03 11:43:53
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
RusBiT » 2008-10-26 17:34:35
С натом почему то лимит не канает. Если стоит до ната, то уходят только исходящии пакеты, а входящие рубятся
После ната ничего не работает
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером
RusBiT
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2008-10-27 1:20:32
а ты попробуй check-state после диверта поставить, а не в начале правил
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid