Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 
Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum
Jazyk
Výber jazykovej mutácie:

FAQ  •  Search  •  Register  •  Log in to check your private messages
Log in  •  Maximize
The time now is 20.04.2024 - 01:10

SKFREE Forum Index » SKFree Network » Software

Filtrovanie prilis vysokeho poctu packetov

Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 1 of 5 12345 >
Author Message
kiwi
Post subject: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 21.10.2004 - 19:48 #12356
Guru


Joined: Jan 30, 2003
Posts: 1572
Potreboval by som pomocov iptables urobit nejaky filter, ktory zabrani tomu, aby z jednej IP odchadzalo viac ako 5 packetov za sekundu (hlavne ked je komp zavireny)

nasiel som nieco taketo

iptables -N syn_flood
iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A syn_flood -j DROP

ale neviem ci je to prave orechove, poprosim nejake koments, pripadne zlepsenia

dik
 
 View user's profile Send private message Send e-mail Visit poster's website ICQ Number 
Reply with quote Back to top
majko036
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 21.10.2004 - 20:50 #12359
Basic


Joined: Jún 21, 2004
Posts: 69
Location: Nove Zamky
imho toto limituje pocet spojeni ni pocet paketov za s
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
eXplorer
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 21.10.2004 - 20:52 #12361
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
Toto limituje pocet paketov so SYN flagom cize je mozne obmedzit pocet spojeni ale len pri TCP protokole, UDP protokolu sa to netyka ... Navyse to neznamena 5 paketov za sekundu ale 1 paket za sekundu s tym ze v spicke to dovoli 5.

Pokial to chces natvrdo 5 paketov z jednej IP za sekundu tak to uprav takto :

iptables -A INPUT -i eth0 -s 192.168.1.10 -m limit --limit 5/s --limit-burst 5 -j ACCEPT

a tiez

iptables -A FORWARD -i eth0 -s 192.168.1.10 -m limit --limit 5/s --limit-burst 5 -j ACCEPT

V kazdom pripade ale 5 paketov za sekundu je malo Laughing
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
kiwi
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 23.10.2004 - 09:09 #12395
Guru


Joined: Jan 30, 2003
Posts: 1572
jedna sa mi o to, ze ked ma niekto zavireny komp, tak dokaze poslat 50 - 200 pckts za sekundu

chcel by som aby sa tie packety nedostali dalej ako po router, nehovoriac o tom, ze ked sa niekto pokusa floodovat
 
 View user's profile Send private message Send e-mail Visit poster's website ICQ Number 
Reply with quote Back to top
kiwi
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 25.10.2004 - 23:50 #12422
Guru


Joined: Jan 30, 2003
Posts: 1572
mozete mi vysvetlit preco sa neda obmedzit posielanie udp packetov z konkretnej IP na max. pocet, tak ako je to pri tcp?
 
 View user's profile Send private message Send e-mail Visit poster's website ICQ Number 
Reply with quote Back to top
eXplorer
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 25.10.2004 - 23:58 #12423
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
Pocet paketov (za sekundu) obmedzit mozes, rovnako ako pri TCP (paket ako paket v tomto pripade), pocet spojeni uz ale nie (pri UDP), pretoze UDP protokol pojem spojenie nepozna ...
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
kiwi
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 26.10.2004 - 08:01 #12430
Guru


Joined: Jan 30, 2003
Posts: 1572
aka je vyhoda pri obmedzeni spojeni oproti poctu packetov?

toto ak sa nemylim je jednoduche obmedzenie poctu packetov
iptables -A FORWARD -i eth0 -s 192.168.1.10 -m limit --limit 5/s --limit-burst 5 -j ACCEPT

a toto by malo byt spojeni
iptables -N syn_flood
iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A syn_flood -j DROP


je tak?
 
 View user's profile Send private message Send e-mail Visit poster's website ICQ Number 
Reply with quote Back to top
jmi
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 27.10.2004 - 02:21 #12457
Guru


Joined: Feb 19, 2003
Posts: 1133
Location: blizko Trencina
vyhoda ci nevyhoda? to co potrebujes to pouzijes..

cez obmedzovanie poctu spojeni si viem predstavit napr. to, ze zakazes napr. z jednej ipcky sosat paralelne 2 fajly ked oba dosiahnu nejaku velkost (obmedzovanie poctu spojeni som nepouzil ani nestudoval, teda sorry ak to v skutocnosti neni mozne .. ale malo by to ist cez connbytes a nasledne cez connlimit ci ako sa to vola)

obmedzenie poctu paketov si viem predstavit akurat tak pre UDP alebo ICMP. Pri tcp je zrejme shaping rozumnejsi
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
chilli
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 27.10.2004 - 20:38 #12477
Basic


Joined: Jún 09, 2004
Posts: 22
da sa toto pouzit ako trafic shaper?
 
 View user's profile Send private message  
Reply with quote Back to top
mgx
Post subject: to tazko  PostPosted: 27.10.2004 - 23:06 #12481
Guru


Joined: Dec 27, 2002
Posts: 1505
to tazko Smile
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
si
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 27.10.2004 - 23:59 #12483
Majster


Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
mgx: preco, da... vies aku mozes mat maximalnu velkost packetov, vies kolko ich maximalne za sekundu pustis, ked to prenasobis, mas maximalny traffic co sa s tym da spravit Very Happy
 
 View user's profile Send private message Send e-mail Visit poster's website  
Reply with quote Back to top
chilli
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 28.10.2004 - 00:01 #12485
Basic


Joined: Jún 09, 2004
Posts: 22
no tak nejako som to myslel
 
 View user's profile Send private message  
Reply with quote Back to top
mgx
Post subject: traffic shaper  PostPosted: 28.10.2004 - 21:46 #12496
Guru


Joined: Dec 27, 2002
Posts: 1505
jasne, ak by si v nejakom pomere presne nastavil, kolko packets/sek prejde pre urcite zariadenie, mozes tym nastavit priepustnost (bandwith management), ale to je zial vsetko.

Shaper by tak podla definicie urcite vznikol, pretoze by si obmedzil vytazenie urciteho zdroja, ale ma to oproti specializovanym packetovym schedulerom nejaku vyhodu?
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
kiwi
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 29.10.2004 - 00:30 #12497
Guru


Joined: Jan 30, 2003
Posts: 1572
podla mna je nezmyselne sa natahovat o shapingu pomocou limitovania poctu packetov.

Skor by ma zaujimalo, ze ake mozu byt priciny toho, ze napriek aplikacii

iptables -A FORWARD -i wlan0 -s 10.203.1.107 -m limit --limit 15/s --limit-burst 20 -j ACCEPT

kde wlan0 je vstupny interface (AP) pre klienta, nedochadza k znizeniu mnozstva packetov prechadzajucich routrom
 
 View user's profile Send private message Send e-mail Visit poster's website ICQ Number 
Reply with quote Back to top
mathew
Post subject: RE: Filtrovanie prilis vysokeho poctu packetov  PostPosted: 29.10.2004 - 00:47 #12498
Site Admin


Joined: Dec 23, 2002
Posts: 910
Location: Zvolen
Hi,
jedná sa ti o zavírené počítače ?

trošku odveci ale predsa:
prečo ho rovno nevypneš na routri a budeš mať pokoj ?

No as pýtam sa teraz ja: ))

Ked DROPnem usera na routri potrebujem do IPTABLEs dopísať riadok, ktorý sice drpne všetko ale predsa usra keď použije nejaký prehliadač odpálkuje na moj WEB server a tam bude nejaký oznam (napr. máte zavírený comp, nezaplatili ste atď ) hod te sem please nejaký riadok jak to má vyzerať, dík.

Mat
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
Display posts from previous:     
All times are GMT
Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 1 of 5 12345 >
Jump to:  

SKFREE Forum Index » SKFree Network » Software
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits

(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)