как правильно юзать connlimit если у меня поднят NAT ?

> Дык вот я никак не могу врубиться - куда мне нужно вписать правильно правило для ограничения пакетов ДЛЯ КАЖДОГО ИП ИНДИВИДУАЛЬНО

Если речь идет об iptables -m limit, то им лучше не резать канал, оно предназначенно для более простых вещей. Фактически на каждого пользователя нужно заводить отдельную очередь/полосу пропускания.

То есть создавать правило(правила) ДЛЯ КАЖДОГО ИП ИНДИВИДУАЛЬНО.

>какой оптимальный вариант для кошерного юзанья IE

Для IE лучше всего прокси :)) Squid позволяет ограничивать скорости закачки, плюс его можно настроить, чтобы скорость падала в зависимости от объема --- маленькие картики грузятся быстро, а архивы качаются медленно...

не надо мне прокси , мне надо ограничить количество пакетов в сек . Прокся - это х*я , у нас доступ полный , поэтому я и хочу ограничить количество пакетов в сек при помощи connlimit . Только я не знаю в какую цепочку писать правила и как оно должно выглядеть для каждого ип индивидуально - для тех ип у которых NAT и для REAL_IP . Причем ограничить надо макс колво пакетов как входящих так и исх .

>eth1 и eth2 - интерфейсы идущие ко второму шлюзу а дальше в локалку - проще говоря с eth1 идет трафик локальный(страны) а с eth2 мировой . Это сделано для разграничения скорости про помощи HTB , можно мировой зажать а локального дать поболе .

Не понял. И, кстати, нах тебе -m limit, если у тебя HTB используется?

>например дать кадому клиенту 3 пакета в сек , и кстати - какой оптимальный вариант для кошерного юзанья IE ?

а ты уверен, что не путаешь ограничение по сессиям и ограничение по объему?

(фагот - я про connlimit)

нет не путаю . зачем мне такая радость когда клиент имеет 32 кбайта максимум - он запускает 200 сессий флашгетом . Еще сидит и радуется ...... :( Не смотря на то что у него нихера при этом не качается , скорость стоит забитой , и напрягает канал попусту !

А вирусы ? Ну блин , делать надо все по уму - ограничивать как скорость , так и мах количество пакетов в сек .

>>>
connlimit v1.2.9 options:
[!] --connlimit-above n match if the number of existing tcp connections
is (not) above n
--connlimit-mask n group hosts using mask
>>>

вот как это использовать , и в какую цепочку это писать ? До нат , после нат , в форвард , построутинг , прероутинг , и как ?

Можно примерчик .

PS: если вы не знаете как , просто воздержитесь от коментариев не по сути вопроса .

>eth1 и eth2 - интерфейсы идущие ко второму шлюзу а дальше в локалку - проще говоря с eth1 идет трафик локальный(страны) а с eth2 мировой . Это сделано для разграничения скорости про помощи HTB , можно мировой зажать а локального дать поболе .


не знаю как обяснить , косноязычно , но пакеты разделяются по SRC IP , в зависимости откуда он пришел на eth0 он разделяется как мировой и местный и поступают дальше в сеть .

HTB не решает проблему неуемного количества пакетов в сек от клиента .


Повторюсь - мне надо ограничить максимальное колво пакетов в сек от клиента и к клиенту ! Т.е. для каждого ИП . Реальных ИП и тех для которых поднят НАТ .