Omezenni ip_conntrack

Skusil bych pravidla do iptables

-m limit ........

viz. http://support.imagestream.com/Blocking_Common_Worms.html

19.7.2005 10:42 *Mirda* | skóre: 24 | Sedlčany
Rozbalit Rozbalit vše Re: Omezenni ip_conntrack

Na -m limit jsem narazil pouze ve forme zavislosti poctu paketu za casovou jednotku. To mi stale neomezi pocet spojeni. Treba jina formulace kterou neznam?

Napadlo me neco takoveho:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -s 1.2.3.4/32 -m limit (nevim co) -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 1.2.3.4/32 -m limit (nevim co) -j ACCEPT

Nize mam totiz:
iptables -A FORWARD -m state --state NEW -s 1.2.3.4/32 -j ACCEPT iptables -A FORWARD -m state --state NEW -d 1.2.3.4/32 -j ACCEPT

19.7.2005 10:52 jirka
Rozbalit Rozbalit vše Re: Omezenni ip_conntrack

p2p vytváří současně spoustu nových připojení, nebylo by lepší omezovat nové připojení?

19.7.2005 11:02 *Mirda* | skóre: 24 | Sedlčany
Rozbalit Rozbalit vše Re: Omezenni ip_conntrack

Ale na zaklade ceho? Pokud tam bude neco jako limit 1/s, tak ty pokusy o nova spojeni v prvni vterine odmitne, ale v dalsich uz prodje a usadi se v ip_conntrack.
V soucasne chvili je na tom routeru navazano 36351 spojeni a ztoho 33250 je na jedny IP. O zbytek se deli asi 30 lidi.

19.7.2005 12:30 mrak | skóre: 12 | Olomouc
Rozbalit Rozbalit vše Re: Omezenni ip_conntrack

Tento problem sem taky resil ... problem byl v tom ze tam zustavali spojeni co byli ESTABLISHED ale ve skutecnosti to jsou rozpadla neukoncena spojeni ktere v te tabulce zustavaji jeste 5 dni
do sysctl.conf jsem dal:

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=16380

po restartu iptables je ale potreba udealt sysctl -p

Dotaz: Omezenni ip_conntrack

Odpovědi