Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2005-05-17 16:42:19
Libo - 
Użytkownik
- Libo
- Użytkownik
- Skąd: Żory
- Zarejestrowany: 2004-10-25
Jak zerwac istniejace polaczenia?
Witam, czy jest mozliwe zerwanie isteniejacych polaczen na routerze, tak aby klient zaczal nawiazywac je ponownie ?? Chodzi mi dokładnie o zerwanie polaczen ESTABLSHED w /proc/net/ip_conntrack
Najlepiej gdyby sie to udalo dla 1 klienta, ale jak trzeba bedzie zerwac wszytkim to jakos przerzyje :).
Dzieki
Nie ma nie idzie... jest nie umiem.
Offline
#2 2005-05-17 16:49:07
BiExi - matka przelozona
#3 2005-05-17 21:54:11
rybek - Członek DUG
- rybek
- Członek DUG
- Zarejestrowany: 2004-04-20
Re: Jak zerwac istniejace polaczenia?
no tak, ale wszystkie. a koledze chyba chodzilo o konkretne?
Linux Registered User: #348830
In a World without Walls and Fences,
who needs Windows and Gates?
Offline
#4 2005-05-18 00:34:57
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak zerwac istniejace polaczenia?
jeśli zapycha się ip_conntrack, można poleceniem:
Kod:
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=86400
zmniejszyć czas trwania połączenia (z reguły sa to połącznia źle zakończone przez programy p2p) zmniejszyć z domyślnych 5 dni na np 24 godz(86400s).
Ale niestety nie wiem dlaczego w jądrze 2.4.27 wartość można zmienić, a w 2.4.22 nie ma takiej zmiennej
Czy zmiana w pliku /źródłą_jądra2.4.22/net/ipv4/netfilter/ip_conntrack_proto_tcp.c tej wartości i skompilowanie jądra da zamierzony efekt?
Zarejestrowany użytkownik Linuksa #361563
Offline
#5 2005-05-18 10:07:42
BiExi - matka przelozona
Re: Jak zerwac istniejace polaczenia?
no ja odpwiadalm na zadane pytanie ale mozna ustwic czas trwania nawianych polaczen
Kod:
echo 360 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait echo 640 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
Offline
#6 2005-05-18 10:15:38
Libo - Użytkownik
- Libo
- Użytkownik
- Skąd: Żory
- Zarejestrowany: 2004-10-25
Re: Jak zerwac istniejace polaczenia?
BiExi: zrestartowanie interfejsow sieciowych nie zrywa polaczen. moze gdyby przerwa byla dlozsza, ale niestety na to nie moge sobie pozwolic.
ustawienie czasu podrzymania polaczenia moze sie przydac, ale ma to swoje wady w postaci takiej ze trzeba jednak przeczekac te 24h
Nie ma nie idzie... jest nie umiem.
Offline
#7 2005-05-18 10:23:14
BiExi - matka przelozona
#8 2005-05-18 11:10:55
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak zerwac istniejace polaczenia?
te 24 godz. podałem przykładowo, czas można przecież ustawić dowolny.
tylko, że u mnie problemem jest to , że w 2.4.22 (2.4.27 nie ma problemu) nie mam tych zmiennych
Kod:
ip_conntrack_tcp_timeout_close_wait i ip_conntrack_tcp_timeout_established
więc nie mogę wpisać nowych wartości.
jest tylko ip_conntrack_max
Zarejestrowany użytkownik Linuksa #361563
Offline
#9 2005-05-18 13:31:17
Libo - Użytkownik
- Libo
- Użytkownik
- Skąd: Żory
- Zarejestrowany: 2004-10-25
Re: Jak zerwac istniejace polaczenia?
ok, ale zmiana parametrow
Kod:
echo 360 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 640 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
i tak wplywa tylko na nowo nawiazane polaczenia, te ktore juz sa ESTABLISHED dalej maja swoj ( domyslnie 5 dniowy ) czas "zycia"
ps. ustawienie czasu na tak mala wartos tez nie jest dobrym pomyslem, zaczynaja sie problemy ze sciaganiem wiekszych rzeczy
Nie ma nie idzie... jest nie umiem.
Offline
#10 2005-05-18 14:37:45
BiExi - matka przelozona
#11 2005-05-18 14:50:06
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak zerwac istniejace polaczenia?
ustawienie czasu na tak mala wartos tez nie jest dobrym pomyslem, zaczynaja sie problemy ze sciaganiem wiekszych rzeczy
Właśnie ten czas jest ciężki do ustalenia. Ogólnie wg mnie zmiana tych czasów to rozwiązanie zastępcze i żeby było całkiem dobrze najlepiej zastosować HTB z jakimś filtrowaniem
Zarejestrowany użytkownik Linuksa #361563
Offline
#12 2005-05-18 14:54:51
BiExi - matka przelozona
Re: Jak zerwac istniejace polaczenia?
ewentualnie nakladac limity prywatnie uzytkownikom na nawiazywane polaczenia, ale moim zdaniem skracanie czasu nawiazanych polaczen jest dobra metodom bo wieszosc tych nawiazanych polacen juz nie powinna anwet istniec :]
Offline
#13 2005-05-18 15:33:24
Libo - Użytkownik
- Libo
- Użytkownik
- Skąd: Żory
- Zarejestrowany: 2004-10-25
Re: Jak zerwac istniejace polaczenia?
BiExi: no wlasnie od tego cala sprawa sie zaczela, ja nalozylem ograniczenia ale problem jest w tym ze klient ma juz nawiazanych okolo 1600 polaczen i nic z nimi nie moge zrobic tylko czekac :)
Nie ma nie idzie... jest nie umiem.
Offline
#14 2005-05-18 16:15:45
BiExi - matka przelozona
Re: Jak zerwac istniejace polaczenia?
wiesz podejzewam ze to czekanie nie wyjdzie CI na dobre bo restarcie servera (reboot) polazcenia nawiazane znikaja jesli sie zapoda limity zaraz po restarcie to jest spokuj i wtedy ustawiasz krutki czas na polaczenia nawiazane :] wtedy wszelkie polaczenia ktore sie przeterminowaly dosc szybko znikaja i nie zapelniaja tablicy conntrac co dodatkowo odciaza server :]
wiem bo ten problem w jedenj z sieci ktora sie opiekuje pojawil sie jakis rok temu :] ale od roku mam zalorzony limicik i nie mam ograniczony czas trwania tych polaczen i jest spokuj.....
Offline
#15 2005-05-19 11:37:06
Mick - Członek DUG
Re: Jak zerwac istniejace polaczenia?
http://lemat.priv.pl/index.php?m=page&pg_id=86
Natknąłem się dziś na to. Może pomoże.
Offline
#16 2005-05-19 14:12:09
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak zerwac istniejace polaczenia?
http://lemat.priv.pl/index.php?m=page&pg_id=86
Natknąłem się dziś na to. Może pomoże.
Właśnie o tym pisałem wyżej i już wiem że można. Skompilowałem jądro po zmianie w pliku:
źródłą_jądra2.4.22/net/ipv4/netfilter/ip_conntrack_proto_tcp.c
wartości zmiennej
Kod:
unsigned long ip_ct_tcp_timeout_established = 5DAYS
z 5DAYS na 12HOURS i teraz domyślną wartością ip_conntrack_tcp_timeout_established jest 43200[s] (12 godz).
Zarejestrowany użytkownik Linuksa #361563
Offline
#17 2005-05-19 14:20:58
Mick - Członek DUG
Re: Jak zerwac istniejace polaczenia?
A wiesz może jak zastosować to:
Kod:
${IPTABLES} -A FORWARD -p tcp -s ${net} -o ${pub} --dport 1024:65535 -m connlimit --connlimit-above 20 -j DROPdokładniej chodzi mi w którym miejscu to dopisać. Czy przed masqaradą czy po oraz co zamiast zmiennych NET (ip łącza) oraz PUB.
Offline
#18 2005-05-19 16:21:51
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: Jak zerwac istniejace polaczenia?
nie zabardzo znam się jeszcze na tym ale jak ma limitować połączenia w twojej sieci to raczej już za maskaradą.
Zarejestrowany użytkownik Linuksa #361563
Offline
#19 2005-05-19 17:44:49
Libo - Użytkownik
- Libo
- Użytkownik
- Skąd: Żory
- Zarejestrowany: 2004-10-25
Re: Jak zerwac istniejace polaczenia?
Mick:
po pierwsze sciagnij sobie Patch-O-Matic ( jezeli jeszcze nie masz http://www.netfilter.org/files/patch-o-matic-ng-20040621.tar.bz2) i po rozpakowaniu w katalogu POM odpal ./runme connlimit (przeczytaj sobie o innych ciekawych opcjach)
potem kompilujesz jajko z nowymi opcjami
------po tych zabiegach-------------------------
mozesz teraz przystapic do dopisywania regulek w firewallu
Kod:
iptables -A FORWARD -p tcp -s $ip --dport 1024:65535 -m connlimit --connlimit-above 20 -j DROP
gdzie za $ip mozesz podstawic poszczegolnych uzytkownikow.
rozwiazanie to jest o tyle dobre ze ogranicza tylko ruch na "wysokich" portach, czyli mozna normalnie surfowac po www
Nie ma nie idzie... jest nie umiem.
Offline
#20 2005-05-19 20:45:47
Mick - Członek DUG
Re: Jak zerwac istniejace polaczenia?
Wszystko mam z p-o-m bo sobie wcześniej kompilowałem. Wiesz może jaka wartośc ograniczeń połączeń byłaby dobra tzn nie chce aby innym nie działało p2p ale chce aby robili to rozważnie a nie właczone naraz dc torrent i jeszcze edonkey.
Offline
#21 2005-05-20 10:49:48
Libo - Użytkownik
- Libo
- Użytkownik
- Skąd: Żory
- Zarejestrowany: 2004-10-25
Re: Jak zerwac istniejace polaczenia?
ja mam teraz limit 100, jak mialem bez ograniczen to ilosc polaczen siegala 1600 na uzytkownika, po wprowadzeniu ograniczen zeden klient sie nie skarzyl ( jeszcze ) :)
Nie ma nie idzie... jest nie umiem.
Offline
#22 2005-05-25 01:31:50
zlyZwierz - Moderator
Re: Jak zerwac istniejace polaczenia?
te limity są dobre dla sieci , ale soft p2p się sztacha ... ludziska mi marudzili i zrezygnowałem .....
aaa.. zeby zerwac istniejące połączenia bez restartu trzeba posadzic networking i przeładowac moduł ip_conntrack (o ile skompilowany jako moduł :) ) i networking zapuscic od nowa :)
Offline