CONNLIMIT по типу траффика

0

1

В описании исправлений кода маршрутизатора написано:

- Добавлена возможность ограничивать кол-во одновременных соединений с компьютеров в сети через правило connmark. Пример: разрешить не более 2 telnet соединений на пользователя через маршрутизатор: iptables -A FORWARD -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j DROP

ЗАДАЧА: ограничить UDP(торрент), или общие соединения на пользователя до 100.

Надо переписать строчку на подобие: iptables -A FORWARD -p udp --connlimit-above 100 -j DROP

===========================================

ВОТ ЕЩЕ ПРИМЕРЫ: Examples: iptables -A FORWARD -m ipp2p --ipp2p -j MARK --set-mark 0x01 iptables -A FORWARD -p udp -m ipp2p --kazaa --bit -j DROP iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP

connlimit v1.2.7a options: [!] --connlimit-above n match if the number of existing tcp connections is (not) above n --connlimit-mask n group hosts using mask

И РЕЗУЛЬТАТ: # iptables -A FORWARD -p udp --connlimit-above 100 -j DROP

iptables v1.2.7a: Unknown arg `--connlimit-above' #

Ссылка

←	Как подключить raid диски ?

ftp-сервер с виртуальными пользователями.

→

-m connlimit --connlimit-above 100

anonymous
(07.02.11 16:53:31 MSK)

Ответ на: комментарий от anonymous 07.02.11 16:53:31 MSK

Не прошло...

СТРОКА: # iptables -A FORWARD -m connlimit --connlimit-above 100

ДАЛА РЕЗУЛЬТАТ: iptables: Invalid argument

===========================================

Examples:

iptables -A FORWARD -m ipp2p --ipp2p -j MARK --set-mark 0x01

iptables -A FORWARD -p udp -m ipp2p --kazaa --bit -j DROP

iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP

ЕЩЕ HELP>>>

UDP v1.2.7a options: --source-port [!] port[:port] --sport ... match source port(s) --destination-port [!] port[:port] --dport ... match destination port(s)

MARK match v1.2.7a options: [!] --mark value[/mask] Match nfmark value with optional mask

CONNMARK match v1.2.7a options: [!] --mark value[/mask] Match nfmark value with optional mask

--bit [TCP&UDP] All known BitTorrent packets

Можно ограничить BitTorrent - размер таблицы NAT 1024 соединения - зависает...

vitdf
(07.02.11 17:39:13 MSK) автор топика

Ссылка

match if the number of existing tcp connections is (not) above

забыл -p tcp ? :)

Rost ★★★★★
(07.02.11 21:28:04 MSK)

Ответ на: комментарий от Rost 07.02.11 21:28:04 MSK

Не забыл - не знал

Спасибо, но.. Я Вас умоляю - предложите готовый вид строки Я в Линуксе слаб, К СОЖЕЛЕНИЮ...

Догадываясь - нечто надо схоже на:

iptables -A FORWARD -p tcp -m --bit connlimit --connlimit-above 100 -j DROP

ОТВЕТ:

iptables v1.2.7a: couldn't find mutch --bit

================================================

# iptables -A FORWARD -p tcp -m connlimit --connlimit-above 100 -j DROP

Такое, кажется, проглотило, но не tcp, а bit ограничивать надо. Если на то место ставлю bit -

ОТВЕТ:

iptables v1.2.7a: couldn't find mutch --bit

Или как обьщее количество соединений..?

vitdf
(08.02.11 00:40:09 MSK) автор топика

У вас старые iptables, там connlimit только на tcp-соединения.

mky ★★★★★
(08.02.11 02:41:45 MSK)

Ссылка

Ответ на: Не забыл - не знал от vitdf 08.02.11 00:40:09 MSK

правильно будет iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 100 -j DROP

другие варианты скорее всего у вас работать не будут - очень уж старая версия iptables у вас. попробуйте обновиться.

Rost ★★★★★
(08.02.11 05:29:46 MSK)

Ответ на: комментарий от Rost 08.02.11 05:29:46 MSK

А через правило connmark?

Тем более, что скорость по разным типам трафика и IP благополучно управляется. КОЛИЧЕСТВО СОЕДИНЕНИЙ ВЫЧИТАЛ - ТОЖЕ МОЖЕТ.

«Добавлена возможность ограничивать кол-во одновременных соединений с компьютеров в сети через правило connmark. Пример: разрешить не более 2 telnet соединений на пользователя через маршрутизатор: iptables -A FORWARD -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j DROP»

->>> iptables сделан ввиде библиотеки и встроен в систему управления в качестве функции для загрузки iptables цепочек.

================== ИЗ Iptables -h: ==================

CONNMARK match v1.2.7a options: [!] --mark value[/mask] Match nfmark value with optional mask

IPP2P v0.8.2 options:

--ipp2p Grab all known p2p packets

--edk [TCP&UDP] All known eDonkey/eMule/Overnet packets

--dc [TCP] All known Direct Connect packets

--kazaa [TCP&UDP] All known KaZaA packets

--gnu [TCP&UDP] All known Gnutella packets

--bit [TCP&UDP] All known BitTorrent packets

--apple [TCP] All known AppleJuice packets

--winmx [TCP] All known WinMX

--soul [TCP] All known SoulSeek

--ares [TCP] All known Ares

EXPERIMENTAL protocols (please send feedback to: ipp2p@ipp2p.org) :

--mute [TCP] All known Mute packets

--waste [TCP] All known Waste packets

--xdcc [TCP] All known XDCC packets (only xdcc login) _________________________________ ВЕСЬ ХЕЛП Iptables -h НЕ ВЛАЗИТ_______

vitdf
(08.02.11 14:22:09 MSK) автор топика

Ответ на: А через правило connmark? от vitdf 08.02.11 14:22:09 MSK

Текущий лимит..?

А как узнать установленое количество соединений..?

vitdf
(08.02.11 17:27:09 MSK) автор топика

Ответ на: Текущий лимит..? от vitdf 08.02.11 17:27:09 MSK

cat /proc/net/ip_conntrack | grep ... | wc -l

что-то типа того...

еще вроде есть софтина с одноименным названием «conntrack» :)

Rost ★★★★★
(09.02.11 01:33:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как подключить raid диски ?

Admin

ftp-сервер с виртуальными пользователями.

→

Не прошло...

Не забыл - не знал

А через правило connmark?

Текущий лимит..?

Похожие темы