Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2006-09-05 00:23:02
Szczur[R] - 
Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
limit polaczen/pakietow na usera z pppoe
witam
Czy jest jakis sposob aby ograniczyc ilosc pakietow/polaczen na serwerze dla kazdego klienta ?? Urzywam rp-pppoe do autoryzacji userow, czy jest taka mozliwosc dla konkretnych ip lub pppx - jesli tak to jak do tego podejsc ??
pozdr
Offline
#2 2006-09-05 00:31:57
maverick44 - Moderator
- maverick44
- Moderator
- Skąd: Częstochowa
- Zarejestrowany: 2005-08-30
- Serwis
Re: limit polaczen/pakietow na usera z pppoe
Uzywamy opcji szukaj na tym forum i co mamy, a to. :)
Maverick
Gentoo GCC 4.1.1 KDE 3.5.6 Kernel 2.6.17
AMD Sempron 2400+ 512 MB RAM Seagate 160GB
Linux user number: #415965
Offline
#3 2006-09-05 00:46:18
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: limit polaczen/pakietow na usera z pppoe
thx, to juz widzialem - chodzilo mi o limit w samym pppoe a nie w iptables. Myslalem ze moze jest szansa ustawienia tego dla konkretnego pppx , lub demon ppp bedzie mial taka opcje dla ip (ewentualnie na podstawie login/haslo)
jesli nic nie wymotam to wlasnie tak zrobie. Moj firewall tapetuje caly duzy pokoj lacznie z sufitem :-) wiec oporny jestem bardzo na dopisywanie do niego czegokolwiek....
pozdr
Offline
#4 2006-09-05 11:12:18
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: limit polaczen/pakietow na usera z pppoe
Kod:
iptables -I FORWARD -s 192.168.1.x -p tcp --syn -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP
Wiec tenwpis ograniczy mi liczbe mozliwych nawiazywanych polaczen NA SEKUNDE(??) dla JEDNEGO(??) adresu ip do 150 - czyli musze dac go tyle razy ile mam klientow - dobrze to rozumiem ??
a co teraz z limitem pakietow ?? od strony wifi jesli ktorys zlapie jakiegos wirusa to generuje roch rzendu 400pps - a moj mikrotik w tak zaszumionym srodowisku wyklada sie przy ok 500pps - wiec wystarczy jeden klient z wirusem + drugi z jakims emulem i jest koniec :-)
No i oczywiscie druga bardzo warzna sprawa - od strony radia jest autoryzacja po pppoe - co jakis czas demon wysyla ICMP Echo do klienta i sprzawdza czy nie rozlaczony. Danie powyzszego wpisu + ograniczajacego pps'y skrajnych wypadkach klienta wywali - skonczy sie limit a pingi juz nie dojda i klient ma disconnect :-)
czy zapodanie powyjesz czegos takiego rozwiaze problem ??
Kod:
iptables -I FORWARD -s 192.168.1.x -p icmp -m connlimit --connlimit-above 20 --connlimit-mask 32 -j DROP
i w tes sposob klient ma mozliwosc odebrania/wyslania 20pingow na sek. ??
pozdr
Offline
#5 2006-09-05 14:17:18
zlyZwierz - Moderator
Re: limit polaczen/pakietow na usera z pppoe
Gdyby jeszcze był sens ciąć ilość płączeń TCP .. można by się w to bawić , a tak , kolejna bezużyteczna regułka x ilość klientów .. fajny firewall - nie ma co :)
Limit pps po stronie serwera ... po co ? Zawirusowany komp i tak to puści w radio , żadna różnica , czy router to dropnie , czy przmieli , radio klęka tak , czy inaczej.
Offline
#6 2006-09-05 14:31:18
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: limit polaczen/pakietow na usera z pppoe
w takim razie zlyZwierz wiesz moze jak przyciac pps'y na mikrotiku ??
MT jest u mnie przezroczysty - wlany sa zmostowane do jednego 3com'a wiec nie ma routingu - jak wiec to mozna sensownie zrealizowac ??
pozdr
Offline
#7 2006-09-05 14:41:43
zlyZwierz - Moderator
Re: limit polaczen/pakietow na usera z pppoe
Nie znam się na MT , ale RTFM powinno wszystko załatwić
http://www.mikrotik.com/docs/ros/2.9/ip/mangle
to wygląda obiecująco
Kod:
dst-limit (integer/time{0,1},integer,dst-address | dst-port | src-address{+},time{0,1}) - limit the packet per second (pps) rate on a per destination IP or per destination port base. As opposed to the limit match, every destination IP address / destination port has it's own limit. The options are as follows (in order of appearance):
Count - maximum average packet rate, measured in packets per second (pps), unless followed by Time option
Time - specifies the time interval over which the packet rate is measured
Burst - number of packets to match in a burst
Mode - the classifier(-s) for packet rate limiting
Expire - specifies interval after which recorded IP addresses / ports will be deleted o MT pytaj BiExi
Offline
#8 2006-09-05 17:53:57
ukasz - Użytkownik
- ukasz
- Użytkownik
- Skąd: wroclaw
- Zarejestrowany: 2006-06-21
Re: limit polaczen/pakietow na usera z pppoe
szczur przeciez mozesz sobie zrobic skrpt ktry sie odpala jak sie user zalguje i wyloguje
na stronie cyberbajt.pl byl artykol o pppoe jest napisane co i jak
http://www.cyberbajt.pl/cyber.php?i=raport&id=50
wystarczy wpisac dpowiednie regolki iptables i juz
Offline
#9 2006-09-05 23:02:27
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: limit polaczen/pakietow na usera z pppoe
zlyZwierz: to sie chyba nie przyda na nic: tak jak mowie - MT jest przezroczysty wiec dziala tylko input/output natomiast forward jest automatyczny przez zmostowanie kart: jak przez karte wszystko przelatuje to mozna tylko kolejkowac a nie wiem jak dac limit pps...... nooooo kurde - jak mnie to zaczyna draznic jak nie moge czegos zrobic.
szczur przeciez mozesz sobie zrobic skrpt ktry sie odpala jak sie user zalguje i wyloguje
artykol czytalem - zanim wogole wdrozylem ppp - jak zlyZwierz zauwarzyl kila postow wyzej: ograniczenie pps'ow na serwerze nie rozwiaze problemu, bo i tak mozna zajechac radio, ewentualnie dosa mu zrobic - nawet glupim icmp z floodem :-) wiec trzeba by ograniczyc na interfejsie wlan w MT
ale dzieki za pomoc - teraz juz dokladnie wiem czego nie umiem :-) bo wczesniej to nawet nie bardzo mialem pojecie jak sie za to zabrac i czego szukac.
Zarzuce ograniczenie liczby polaczen na serwerze- to uchroni dsl'e przed zajechaniem: swoja droga - DSL4000 MA MAX. 500PPS !!!! rozboj w bialy dzien !!!!
Nie wiem tylko jak tu MT ocalic - szkoda ze nie ma na nim cos ala portsentry :-)
pozdr
Offline
#10 2006-09-06 19:12:24
zlyZwierz - Moderator
#11 2006-09-06 20:55:50
Nickleodeon - Członek DUG
- Nickleodeon
- Członek DUG
- Skąd: Drawsko Pomorskie
- Zarejestrowany: 2005-08-19
Re: limit polaczen/pakietow na usera z pppoe
szczur ;] radio zabijesz tak , czy inaczej , więc IMO olałbym temat
to u klientów na kompach musiałbyś porobić ograniczenia
"zlyZwierz" niestety ma racje. Rozwiazaniem /polowicznym/ moze byc zwiekszenie punktow dostepowych dla klientow i odpowiednie powiazanie klient_wifi-AP.
Offline
#12 2006-09-06 21:20:24
Ulter - Użytkownik
- Ulter
- Użytkownik
- Zarejestrowany: 2006-03-15
Re: limit polaczen/pakietow na usera z pppoe
Ja mam troche dziwne doświadczenia z connlimitem, otóż niby działa poprawnie ale do czasu, jeżeli ktoś odpali torrenta, wtedy trzyma jakiś czas a potem puszcza.... Spotkał się ktoś z takimi objawami :) ?
Offline
#13 2006-09-07 12:32:16
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: limit polaczen/pakietow na usera z pppoe
Ja mam troche dziwne doświadczenia z connlimitem, otóż niby działa poprawnie ale do czasu, jeżeli ktoś odpali torrenta, wtedy trzyma jakiś czas a potem puszcza.... Spotkał się ktoś z takimi objawami :) ?
sprecyzuj problem: czy to sie dzieje na mt czy na serw. z debianem, jesli na mt to masz go przezroczystego czy z nat ??
pozdr
Offline
#14 2006-09-07 15:06:44
Ulter - Użytkownik
- Ulter
- Użytkownik
- Zarejestrowany: 2006-03-15
Re: limit polaczen/pakietow na usera z pppoe
"]
Ja mam troche dziwne doświadczenia z connlimitem, otóż niby działa poprawnie ale do czasu, jeżeli ktoś odpali torrenta, wtedy trzyma jakiś czas a potem puszcza.... Spotkał się ktoś z takimi objawami :) ?sprecyzuj problem: czy to sie dzieje na mt czy na serw. z debianem, jesli na mt to masz go przezroczystego czy z nat ??
pozdr
W firewallu na serwerze miałem wpis do ograniczenia sesji z wykorzystaniem connlimita (patch z pom) i tak jak pisałem u mnie to wogule nie działa :) Po pewnym czasie nie trzyma tego limitu i pozwala otworzyć dowolną liczbę sesji na komputerach klienckich. Także nie wiem może ja coś skopałem albo tak to działa :)
Offline
#15 2006-09-07 17:43:11
Nickleodeon - Członek DUG
- Nickleodeon
- Członek DUG
- Skąd: Drawsko Pomorskie
- Zarejestrowany: 2005-08-19
Re: limit polaczen/pakietow na usera z pppoe
I przypomnialem sobie....
Kiedys gosc na forum linuxfan.pl /sorry za kryptoreklame/, niejaki 'techrys', calkiem sensowna dal odp. na twoj problem Ulter:
http://www.linuxfan.pl/modules.php?op=modload&n … &start=10
Popatrz na sam koniec tego wątku.
Offline
#16 2006-09-07 23:34:43
Ulter - Użytkownik
- Ulter
- Użytkownik
- Zarejestrowany: 2006-03-15
Re: limit polaczen/pakietow na usera z pppoe
I przypomnialem sobie....
Kiedys gosc na forum linuxfan.pl /sorry za kryptoreklame/, niejaki 'techrys', calkiem sensowna dal odp. na twoj problem Ulter:
http://www.linuxfan.pl/modules.php?op=modload&n … &start=10
Popatrz na sam koniec tego wątku.
Nie wiem czy o to Ci chodziło ale użyłem reguły którą proponuje ten gościu i niestety ona także puszcza (chociaż działa ciut lepiej bo puszcza tylko połaczenia na torrencie, stronki nie pozwoli już otworzyć jeżeli jest przekroczony limit, i nie zasypuje logów błędami) Tak czy inaczej ten connlimit to działa tylko w teorii (i jak to napisał autor "Status: ItWorksForMe") Śmieć nawet na email nie odpisuje :)
Offline