| Author |
Message |
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
 Posted: 29.10.2004 - 00:52 #12499
|
|
Guru
Joined: Feb 19, 2003
Posts: 1133
Location: blizko Trencina
|
|
otazka je co nasleduje ako dalsie pravidlo.. accept ti ten paket povoli a uz nekontroluje dalsie pravidla
teda za tymto pravidlom musis mat nejake ktore si zabije vsetky pozadovane pakety (uz sa nemusis bat ze by zabilo daky ktoremu si dal hentym pravidlo accept .. ten je proste navzdy dovoleny a uz ho nic nezabije |
|
|
| |
|
|
|
 |
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 29.10.2004 - 00:58 #12500
|
|
Site Admin
Joined: Dec 23, 2002
Posts: 910
Location: Zvolen
|
|
| no ja len na routri zadam napr: iptables -t mange -A POSTROUTING -s 192.168.22.22 -j DROP samo aj pre prerouting tým ho odpálkujem do večných lovíšť no len aký je zápis pre to čo si napísal ? |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 29.10.2004 - 14:12 #12512
|
|
Guru
Joined: Feb 19, 2003
Posts: 1133
Location: blizko Trencina
|
|
| ja zo zasady robim filtering len vo filter tabulke .. v mangle len nastavujem flagy |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 07.11.2004 - 21:16 #12723
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
Hi,
uspesne som pochopil limitovanie poctu paacketov pomocou iptables, ale chcel by som sa opytat, ze ci maju odchadzajuce packety, ktore potvrdzuju prijatie packetu nejaku vlastnost (asi Flag), ktora by ich odlisovala od odchadzajucihc packetov, ktore otvaraju konekciu (napriklad packety ktore odosiela virus na rozne IPs)
Inymi slovami, ked obmedzim pocet odchadzajucich packetov na 15, tak maximalny download je okolo 250 kbit, co mi nevyhovuje, tzn. potrebujem, aby tie packety ktore potvrdzuju prijatie packetu bolo mozne odoslat bez obmedzeni, ale naopak, packety ktore odosle virus, alebo nejaky trojan, aby spadali do inej kategorie a teda bud boli zahodene, alebo povolene len v istej miere.
Moze mi niekto tak zbezne vysvetlit co znamenaju tie flagy (ja viem ze si to mam pozriet na googli, ale keby sa nahodou niekomu chcelo, urcite by som nebol sam kto by sa potesil) 
V pripade, ze existuju este ine typy flags, ktore nie je dobre filtrovat, dajte mi vediet .
Dik |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 07.11.2004 - 23:09 #12724
|
|
Guru
Joined: Feb 19, 2003
Posts: 1133
Location: blizko Trencina
|
|
tak toto mam ten pocit nebude take easy
nexces predsalen pouzit shaping tak ako vacsina ludi? |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 10.11.2004 - 15:40 #12781
|
|
Basic
Joined: Okt 12, 2004
Posts: 21
Location: Tornala
|
|
| kiwi nevyznam sa v tom, ale nemalo by to byt nastavene na odchodzi $IFACE ? teda nie na wlan0, ale na druhe? |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 10.11.2004 - 22:29 #12795
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
pre matt:
#!/bin/bash
# verzia 2.0
echo "Disable ->2.0"
export INTERNET_STRING=1.2.3.4 #IP adresa kde bezi tvoj WWW server
echo $INTERNET_STRING;
DISABLED="`grep disabled /etc/hosts | cut -f 1 | cut -f 2 --delimiter=" " `";
echo -n "Disconnected clients: "
for ONEIP in $DISABLED; do
echo -n "$ONEIP ";
/sbin/iptables -I PREROUTING -t nat -s $ONEIP -p tcp -j DNAT --to-destination $INTERNET_STRING:999
done
echo "";
UPLOAD="`grep upload /etc/hosts | cut -f 1 | cut -f 2 --delimiter=" "`";
echo -n "Upload warning clients: "
for ONEIP in $UPLOAD; do
echo -n "$ONEIP ";
/sbin/iptables -I PREROUTING -t nat -s $ONEIP -p tcp -j DNAT --to $INTERNET_STRING:998
done
echo "";
NEPLATIC="`grep neplatic /etc/hosts | cut -f 1 | cut -f 2 --delimiter=" "`";
echo -n "Neplatici clients: "
for ONEIP in $NEPLATIC; do
echo -n "$ONEIP ";
/sbin/iptables -I PREROUTING -t nat -s $ONEIP -p tcp -j DNAT --to $INTERNET_STRING:997
done
echo "";
WARNING="`grep warning /etc/hosts | cut -f 1 | cut -f 2 --delimiter=" "`";
echo -n "Warning clients: "
for ONEIP in $WARNING; do
echo -n "$ONEIP ";
/sbin/iptables -I PREROUTING -t nat -s $ONEIP -p tcp -j DNAT --to $INTERNET_STRING:996
done
/etc/hosts moze vyzerat nasledovne:
10.x.x.1 klient1 shared32
10.x.x.1 klient2 shared32
10.x.x.3 klient3 disabled
10.x.x.4 klient3 neplatic
na IP adrese treba mat rozbehnut WWW server, ktory na portoch 999,998,997 zobrazuje prislusne hlasky pre neplaticov |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 26.03.2006 - 10:51 #32770
|
|
Basic
Joined: Jún 26, 2003
Posts: 270
|
|
A co v pripade ze pouzijem
iptables -A FORWARD -i wlan0 -s 10.203.1.0/24 -m limit --limit 15/s --limit-burst 20 -j ACCEPT
Bude pocet packetov obmedzeny pre cely pool IPciek alebo pre kazdu IPcku z tohoto poolu? Rozumejte tak, ze kazda IPcka z triedy 10.203.1.0 bude obmedzena na 15pckt/sec alebo spolocne vsetky IPcky budu zdielat obmedzenie 15pckt/sec a v pripade ze jeden zhltne vsetko, na ostatnych nezostane nic? |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 26.03.2006 - 11:03 #32772
|
|
Majster
Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
|
|
| Miso: bude to obmedzovat cely rozsah 10.203.1.0/24 na dokopy 15 pps |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 26.03.2006 - 14:33 #32782
|
|
Ucen
Joined: Aug 09, 2004
Posts: 752
|
|
trochu odbocim:
izolacia klientov na AP zabrani aj tomu, aby nejaky klient udeloval dhcp? nemam to kde vyskusat zatial |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 26.03.2006 - 14:37 #32784
|
|
Majster
Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
|
|
| neos: ano, kedze nedokaze poslat ani prijat packety od inych klientov |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 26.03.2006 - 15:27 #32787
|
|
Ucen
Joined: Jún 24, 2003
Posts: 598
Location: /dev/null
|
|
2kiwi: ono to je docela problem, presne ako vravis limit odchadzajucich limituje prichodzie (logicke ) .. ak by sa jednalo o trojany viruse standartne ide o SMTP (25) takze limit spojeni ako u nas na jednotku casu ( tusim pol hodinu). Ak by to bolo globalne tak je mozne ze normalne nepojde napr FTP a pod. na WWW sa dala vynimka. Celkovo by to ani nevadilo ale dava to strasny zahul CPU 
Zatial nejake univerzalne riesenie neexistuje ...
p.s. dalo by sa spravit presmerovanie na web ze ma limit spojeni, ze ma virus atd ... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 18.05.2006 - 23:34 #35321
|
|
|
|
| pozeral som tieto nastavenia.. ale neviem presno kolko mam povolit packetov za sek. zatial na sebe testujem --limit 50/s --limit-burst 75, ale vydi sa mi to vela, ale do netu mam max rychlost potom 1mbps, kolko max packetov doporucujete??? potrebujem to kvoli zavirenym kompom a podobne... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 19.05.2006 - 07:07 #35322
|
|
Majster
Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
|
|
| na to aby uzivatel aspon cisto teoreticky vedel dosiahnut 1 mbit/s musis povolit: 1024/8 = 128kB/s * 1024 = 131072B/s / 1500B/packet (alias MTU) = 87.38pps -> pokial mu teda povolis 87 packetov za sekundu a vsetky packety budu velkosti 1500B (co v reali budu mensie) tak sa dokaze dopracovat k rychlosti 1 mbit/s |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov
Posted: 19.05.2006 - 10:40 #35328
|
|
|
|
ja som nevedel ako to prepocitat, tak som trochu testoval.. ked to mam takto tak do netu (meral som cez web) to ide cca 1mbit. ale zmiatlo ma to, ze hore bolo spominane nejake floodovanie a ze odosielalo nejakych 50-200packetov, tak preto sa mi to videlo vela... ok este trochu potestujem a uvidim ako to pojde...
uvedzam este kompletny zapis vo firewalli na staros, limit spojeni a IP vs MAC:
iptables -A FORWARD -s 192.168.0.23 -m limit --limit 50/s --limit-burst 75 -m mac --mac-source MM:AA:CC:MM:AA:CC -j ACCEPT
este jedna vec> ako presmerujem takyto traffic na inu IP, teda na iny StarOS keby tam je povedzme dalsie pripojenie... predpokladam ze sa to da cez PREROUTING ale neviem syntax. dik |
|
|
| |
|
|
|
|
|
|
