-
1. Data: 2003-01-08 13:04:49
Temat: dla osob z limitowaniem polaczen na DSLu
Od: Sebastian Bialy <h...@p...onet.pl>
Witam grupe. Zrobilem cos, co moze reszcie uzytkownikow DSLa pomoc, wiec
sie dziele. Postanowilem limitowac ruch "inny" niz znany, co w 90%
oznacza ruch generowany przez Kazaa. Zrobilem to mniej wiecej tak:
#tu tworze nowy lancuch ktory limituje pakiety
iptables -N FUCKPTOP
#www
iptables -A FUCKPTOP -p tcp --dport 80 -j RETURN
#pop3
iptables -A FUCKPTOP -p tcp --dport 110 -j RETURN
#smtp
iptables -A FUCKPTOP -p tcp --dport 25 -j RETURN
#tu dopisz jeszcze pare innych, na znanych portach
#
#
#limitujemy wszystko inne
iptables -t mangle -A FUCKPTOP -m limit ! --limit 2/second -m state
--state NEW -j DROP
#teraz go podpinam pod glowny lancuch
iptables -A FORWARD -j FUCKPTOP
#koniec
Limit dotyczy tylko polaczen tworzonych, wiec nie jest to to samo co
zmniejszanie predkosci, raczej zmniejszanie szansy na polaczenie.
Mam nadzieje, ze komus to pomoze. Pzdr.
PS. U mnie jest to "nieco" inaczej, ale ideajest ta sama. Od 2 tygodni
_zadnych_ problemow z limitowanie portow, z glupia kazaa traktuje te
limity jako wolne lacze. Na marginesie: nie radze wycinac w 100% ruchu
kazaa bo zacznie skakac po portach www i bedzie jeszcze trudniej wyciac.
Ponadto wiem, ze trzeba by zrobic tylko limitowanie wychodzacych
polaczen, a nie wszystkich w FORWARD, jak chcecie tak zrobcie.
--
Sebastian Bialy - h...@p...onet.pl
-
2. Data: 2003-01-31 17:29:27
Temat: Re: dla osob z limitowaniem polaczen na DSLu
Od: Marcin Wolcendorf <w...@f...polbox.pl>
Sebastian Bialy wrote:
> Witam grupe. Zrobilem cos, co moze reszcie uzytkownikow DSLa pomoc, wiec
[ciach]
> #limitujemy wszystko inne
> iptables -t mangle -A FUCKPTOP -m limit ! --limit 2/second -m state
> --state NEW -j DROP
Czy jesteś pewny tego '! --limit'??? Bo przy próbie zapisania i
odtworzenia iptables czy jest '!' czy nie, zapisywane jest to samo...
Pozdrawiam,
M.W.
-
3. Data: 2003-01-31 21:41:07
Temat: Re: dla osob z limitowaniem polaczen na DSLu
Od: G...@p...onet.pl-----USUN-TO (Grzegorz Janoszka)
On Fri, 31 Jan 2003 17:29:27 +0000 (UTC) I had a dream that Marcin Wolcendorf
<w...@f...polbox.pl> wrote:
>> Witam grupe. Zrobilem cos, co moze reszcie uzytkownikow DSLa pomoc, wiec
>[ciach]
>> #limitujemy wszystko inne
>> iptables -t mangle -A FUCKPTOP -m limit ! --limit 2/second -m state
>> --state NEW -j DROP
>Czy jesteś pewny tego '! --limit'??? Bo przy próbie zapisania i
>odtworzenia iptables czy jest '!' czy nie, zapisywane jest to samo...
Ale to i tak nie pomaga...
--
Grzegorz Janoszka
www.consulta.pl odpowiadając POPRAW adres
Na newsy piszę prywatnie i wyrażam swoje prywatne poglądy, które nie mają
nic wspólnego z moimi byłymi, obecnymi i przyszłymi pracodawcami.
-
4. Data: 2003-01-31 21:41:39
Temat: Re: dla osob z limitowaniem polaczen na DSLu
Od: Sebastian Bialy <h...@p...onet.pl>
Marcin Wolcendorf wrote:
>> iptables -t mangle -A FUCKPTOP -m limit ! --limit 2/second -m state
>> --state NEW -j DROP
> Czy jesteś pewny tego '! --limit'??? Bo przy próbie zapisania i
> odtworzenia iptables czy jest '!' czy nie, zapisywane jest to samo...
Wydaje mi sie ze tak, ten ! powinien byc w tym miejscu (za --limit a
przed jednostka nie dziala, z reszyta ten zapis wydaje mi sie
logiczniejszy). Z reszta moze to jakis problem z iptables i zapisywaniem
ustawien - ja uzywam i tak skryptu startowego za kazdym razem i nic nie
odtwarzam. Natomiast teraz widze inny bug ;) mianowicie nie powinny byc
tego "-t mangle" ;)
PS. To nie jest rozwiazanie, a raczej idea rozwiazania. Nie musi dzialc,
chodz mi dziala _znakomicie_.
--
Sebastian Bialy - h...@p...onet.pl
-
5. Data: 2003-02-01 08:14:07
Temat: Re: dla osob z limitowaniem polaczen na DSLu
Od: Marcin Wolcendorf <w...@f...polbox.pl>
Sebastian Bialy wrote:
> Marcin Wolcendorf wrote:
>
>
> Wydaje mi sie ze tak, ten ! powinien byc w tym miejscu (za --limit a
> przed jednostka nie dziala, z reszyta ten zapis wydaje mi sie
> logiczniejszy).
Mnie też się taki wydaje. Ale to iptables ma coś z tym zrobić, nie ja ;-).
> Z reszta moze to jakis problem z iptables i zapisywaniem
> ustawien - ja uzywam i tak skryptu startowego za kazdym razem i nic nie
> odtwarzam.
Przestałem się zastanawiać nad poprawnością- po prostu zamieniłem regułę
na dwie, bez '!':
iptables -A FUCKPTOP -m limit --limit 2/second -m state --state NEW \
-j RETURN
iptables -A FUCKPTOP -m state --state NEW -j DROP
i działa :-)
> Natomiast teraz widze inny bug ;) mianowicie nie powinny byc
> tego "-t mangle" ;)
Ale to szybko widać.
Pozdrawiam,
M.W.
-
6. Data: 2003-02-02 19:00:57
Temat: Re: dla osob z limitowaniem polaczen na DSLu
Od: Marcin Wolcendorf <w...@f...polbox.pl>
Sebastian Bialy wrote:
> Marcin Wolcendorf wrote:
>
>
> Wydaje mi sie ze tak, ten ! powinien byc w tym miejscu (za --limit a
> przed jednostka nie dziala, z reszyta ten zapis wydaje mi sie
> logiczniejszy).
Mnie też się taki wydaje. Ale to iptables ma coś z tym zrobić, nie ja ;-).
> Z reszta moze to jakis problem z iptables i zapisywaniem
> ustawien - ja uzywam i tak skryptu startowego za kazdym razem i nic nie
> odtwarzam.
Przestałem się zastanawiać nad poprawnością- po prostu zamieniłem regułę
na dwie, bez '!':
iptables -A FUCKPTOP -m limit --limit 2/second -m state --state NEW \
-j RETURN
iptables -A FUCKPTOP -m state --state NEW -j DROP
i działa :-)
> Natomiast teraz widze inny bug ;) mianowicie nie powinny byc
> tego "-t mangle" ;)
Ale to szybko widać.
Pozdrawiam,
M.W.
do góry
Nowy etap Przystani Reymonta we Wrocławiu w przedsprzedaży
