Страница 1 из 1
IPNAT
Добавлено: 2009-12-07 3:58:42
RAGNAR
есть такой вопрос по ограничению ссесий для машин. сколько достаточно открыть портов клиену для нармаьлной работы?
имеет ли смысел это делать?
ipnat.rule
Код: Выделить всё
map tun0 192.168.0.10/32 -> 95.95.95.95/32 portmap tcp/udp 10000:10010
map tun0 192.168.0.12/32 -> 95.95.95.95/32 portmap tcp/udp 10020:10030
Re: IPNAT
Добавлено: 2009-12-07 12:01:40
schizoid
я своим по 40 оставляю.
если качают много торрентов, то тупит весь остальной инет. по-этому пользователь сам ищет компромис, выставляя себе меньшее количество сессий в торренте, для комфортной работы в инете. ну и мне хорошо, не забивают канал.
тока я про сессии говорю:
Код: Выделить всё
allow ip from 10.10.10.0/29,192.168.10.0/24,192.168.11.0/24,192.168.2.0/24 to any via rl1 limit src-addr 40
Re: IPNAT
Добавлено: 2009-12-07 12:34:23
skeletor
schizoid писал(а):
Код: Выделить всё
allow ip from 10.10.10.0/29,192.168.10.0/24,192.168.11.0/24,192.168.2.0/24 to any via rl1 limit src-addr 40
У меня этот вариант для торрентов не прокатил, как открывали по пару тысяч соединений, так и продолжают открывать. Пробовал все варианты с limit (src, dst) не влияет.
А вот насчёт ограничений в самом ipnat'e - это идея, нужно проверить.
Re: IPNAT
Добавлено: 2009-12-07 12:40:39
RAGNAR
вобщем то вопрос про торент и стоял... инет вешают канкретно. попробую с ipfw правилом... посмотрим что получиться.
Re: IPNAT
Добавлено: 2009-12-07 12:53:24
schizoid
skeletor писал(а):schizoid писал(а):
Код: Выделить всё
allow ip from 10.10.10.0/29,192.168.10.0/24,192.168.11.0/24,192.168.2.0/24 to any via rl1 limit src-addr 40
У меня этот вариант для торрентов не прокатил, как открывали по пару тысяч соединений, так и продолжают открывать. Пробовал все варианты с limit (src, dst) не влияет.
А вот насчёт ограничений в самом ipnat'e - это идея, нужно проверить.
у мну дропаются лишние сессии...
Код: Выделить всё
Dec 7 11:52:38 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 125.233.248.197:9822, too many entries
Dec 7 11:52:40 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 85.173.221.240:42124, too many entries
Dec 7 11:52:42 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 119.246.108.87:24482, too many entries
Dec 7 11:52:43 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 189.41.132.167:32467, too many entries
Dec 7 11:52:46 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 76.125.245.212:34617, too many entries
Dec 7 11:52:46 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 41.234.189.77:40900, too many entries
Dec 7 11:52:48 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 117.195.36.47:48953, too many entries
Re: IPNAT
Добавлено: 2009-12-07 13:06:30
RAGNAR
вот интересно куда его по смыслу ставить? это правило. vr0 внутренний интерф. или имелось ввиду внешний?
${ipfw} add xxx allow ip from 192.168.1.0/24 to any via vr0 limit src-addr 10
Код: Выделить всё
${ipfw} add 210 allow ip from any to 192.168.1.0/24 iplen 0-500 src-port 80
${ipfw} add 212 allow ip from any to 192.168.1.0/24 tcpflags ack iplen 0-128
${ipfw} add 220 pipe 1 ip from not 192.168.1.0/24 to 192.168.1.0/24 out
${ipfw} add 222 pipe 2 ip from 192.168.1.0/24 to not me in
${ipfw} add 250 allow ip from any to any via vr0 // локалка
${ipfw} add 1210 allow ip from any to any via tun0 // интернет локалка
Re: IPNAT
Добавлено: 2009-12-07 13:08:41
schizoid
Код: Выделить всё
allow ip from any to any via rl0 limit src-addr 40
это для внутренних клиентов.
то, что выше было для внешних, типа филиалов... не заморачивайся.
т.е. я режу на внутреннем интерфейсе. rl0 - внутренний
Re: IPNAT
Добавлено: 2009-12-07 13:15:17
skeletor
schizoid писал(а):skeletor писал(а):schizoid писал(а):
Код: Выделить всё
allow ip from 10.10.10.0/29,192.168.10.0/24,192.168.11.0/24,192.168.2.0/24 to any via rl1 limit src-addr 40
У меня этот вариант для торрентов не прокатил, как открывали по пару тысяч соединений, так и продолжают открывать. Пробовал все варианты с limit (src, dst) не влияет.
А вот насчёт ограничений в самом ipnat'e - это идея, нужно проверить.
у мну дропаются лишние сессии...
Код: Выделить всё
Dec 7 11:52:38 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 125.233.248.197:9822, too many entries
Dec 7 11:52:40 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 85.173.221.240:42124, too many entries
Dec 7 11:52:42 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 119.246.108.87:24482, too many entries
Dec 7 11:52:43 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 189.41.132.167:32467, too many entries
Dec 7 11:52:46 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 76.125.245.212:34617, too many entries
Dec 7 11:52:46 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 41.234.189.77:40900, too many entries
Dec 7 11:52:48 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 117.195.36.47:48953, too many entries
А я смотрю не так: смотрю по количеству открытых одновременно сессий. Или это не то?
Re: IPNAT
Добавлено: 2009-12-07 13:18:28
schizoid
по ESTABLISHED ?
Re: IPNAT
Добавлено: 2009-12-07 13:19:51
schizoid
Код: Выделить всё
# tail -f /var/log/security
Dec 7 12:18:22 gate kernel: ipfw: 1400 Deny UDP 90.48.70.68 192.168.30.2 in via sk0 (frag 44494:85@1480)
Dec 7 12:18:26 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 76.97.61.23:62818, too many entries
Dec 7 12:18:26 gate kernel: ipfw: 8300 drop session 192.168.0.115:51089 -> 213.7.74.26:59873, too many entries
Dec 7 12:18:29 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 70.244.62.190:40284, too many entries
Dec 7 12:18:30 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 67.166.140.195:13070, too many entries
Dec 7 12:18:42 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 92.86.182.119:27465, too many entries
Dec 7 12:18:43 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 188.36.171.208:7877, too many entries
Dec 7 12:18:44 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 94.24.177.250:56406, too many entries
Dec 7 12:18:45 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 74.240.204.109:33209, too many entries
Dec 7 12:18:46 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 95.84.152.111:40456, too many entries
Dec 7 12:19:00 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 85.134.111.73:19288, too many entries
Dec 7 12:19:01 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 88.130.185.109:56705, too many entries
Dec 7 12:19:03 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 121.214.175.105:16119, too many entries
Dec 7 12:19:14 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 87.79.62.243:42571, too many entries
Dec 7 12:19:15 gate kernel: ipfw: 8300 drop session 192.168.0.253:6881 -> 77.194.160.179:46960, too many entries
хотя в тоже время:
Код: Выделить всё
# netstat -n| grep 192.168.0.253
tcp4 0 0 74.125.104.18.80 192.168.0.253.49090 ESTABLISHED
tcp4 0 0 74.125.87.101.80 192.168.0.253.40138 ESTABLISHED
tcp4 0 0 192.168.0.150.21 192.168.0.253.44549 ESTABLISHED
Re: IPNAT
Добавлено: 2009-12-07 13:37:59
skeletor
А я смотрю через ipnat -l . Как всё-таки правильно смотреть?
Re: IPNAT
Добавлено: 2009-12-07 13:40:46
schizoid
а, а у меня ipfw nat...
где истина ...
Re: IPNAT
Добавлено: 2009-12-08 22:27:40
RAGNAR
можно посматреть как дропаються пакеты в реале
# tail -f /var/log/security
а как посматреть сесии каторые не дропаються, каторые пропускаються?