Страница 2 из 2
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-13 16:48:19
schizoid
Код: Выделить всё
/sbin/ipfw add allow ip from 192.168.0.1/24 to any keep-state limit src-addr 10
запретит каждому абоненту сети 192.168.0.1:255.255.255.0 устанавливать более 10 соединений одновременно. Параметр src-addr указывает, что ограничение считается по адресам источников пакетов (т.е. в нашем примере - для каждого пользователя). Допустимые значения этого параметра: dst-addr (ограничение подсчитывается по адресам назначения), src-port (ограничение подсчитывается по портам источника), dst-port (ограничение подсчитывается по портам назначения), а также любые комбинации этих параметров, например, limit dst-port dst-addr 1 позволит установить только одно соединение с любым портом любого сервера, при этом можно будет установить несколько соединений с одним сервером (например, HTTP, SMTP и POP3 одновременно) и неколько соединений на один порт различных серверов (например, одновременно скачивать
www.anekdot.ru и
www.hub.ru).
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-13 18:40:47
RusBiT
Дык , не работает.
Код: Выделить всё
ipfw: only one of keep-state andlimit is allowed
Как понимаю из за nat'а
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-13 18:44:36
schizoid
а ..гыг...дык эта, или лимит или кипстейт
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-13 20:22:04
LMik
RusBiT писал(а):Блин , как вообще ввести глобальное ограничение на количество сессий для каждого ip который проходит на роутере?
Видимо вирус новый какой то..
подавить нат
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-14 8:29:27
zingel
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-14 17:54:15
RusBiT
Непомогает
Код: Выделить всё
user# ipfw add 65500 deny log udp from any to any
65500 deny log logamount 100 udp from any to any
user# ipfw 10 add allow ip from 192.168.10.1/24 to any keep-state limit src-addr 10
ipfw: only one of keep-state andlimit is allowed
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-14 18:07:16
RusBiT
Если же просто
Код: Выделить всё
allow ip from 192.168.10.2 to any limit src-addr 10
, то все нормально срабатывает.
Просто не разумно для каждого ip писать одно и тоже
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-14 18:46:07
RusBiT
Код: Выделить всё
ipfw add allow tcp from 10.10.10.0/24 to any via fxp1 setup limit src-addr 10
ipfw add allow tcp from any to me limit src-addr 4
Данное правило ограничивает число соединений, которое может быть открыто пользователем. Брандмауэр (предполагается, что он запущен на шлюзе) разрешает каждому хосту в сети 10.10.10.0/24 открыть максимум 10 соединений. Кроме того, брандмауэр может может быть настроен на сервер так, чтобы убедиться, что один клиентский компьютер совершает не более четырех одновременных соединений.
Сейчас батарея почти села. Завтра после учебы проверю
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-26 17:34:35
RusBiT
С натом почему то лимит не канает. Если стоит до ната, то уходят только исходящии пакеты, а входящие рубятся
После ната ничего не работает
Re: Непонятный UDP флуд. Помогите!
Добавлено: 2008-10-27 1:20:32
schizoid
а ты попробуй check-state после диверта поставить, а не в начале правил