|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: слакфен |
Дата: 01/22/2006 |
Пацо, пак съм аз :) Преди време те бях питал как да
лимитирам конекциите към дата.бг. Най-накрая успях да
подкарам 2.6.11 ядро, iptables 1.3.3 +
patch-o-matic-ng-20050918. Вече командата която ми каза
работи:
iptables -A FORWARD -p tcp -m connlimit --connlimit-above 22
-s $IP_client -d data.bg --dport 80 -j REJECT
--reject-with tcp-reset
обаче когато я вкарам в rc.local(за да се стартита всеки
път), ми изписва unknown host: data.bg. Дано пак да ми
помогнеш :)
|
Отговор #1 |
От: plamen |
Дата: 01/22/2006 |
Нещо в днс-а куца, според мене или резолвера ти не е захапал
навреме, ако искаш в хост таблицата си направи асоцияция
хост ип и ще ти проработи, при мен няма такъв проблем,
провери си пак настройките за днс, щото така като гледам
проверката за днс е била неуспешна.
|
Отговор #2 |
От: слакфен |
Дата: 01/22/2006 |
Прав си. Проблемът е, че се връзвам в нет-a с PPPOE и може
би за това DNS по-бавно реагира. Написах правилата
най-накрая в rc.local и тръгна. Проблема сега е, че не
винаги спира конекциите. Понякога успява, а понякога
позволява на потребителите да пускат повече от 5 конекции.
Опитах се да направя, така, че всеки да има право да тегли
по един файл едновременно.
iptables -A FORWARD -p tcp -m connlimit --connlimit-above 1
-s $IP_client -d data.bg --dport 21 -j REJECT
--reject-with tcp-reset
Дали, ако махна --reject-with tcp-reset и оставя само REJECT
ще има по-голям ефект.
|
Отговор #3 |
От: plamen |
Дата: 01/22/2006 |
Завици от състоянието на конекцията, иди в нетфилтер.орг и
там виж всичко с подробности, виж конекциите от към кой порт
са, последно като гледам си сложил фтп.
|
Отговор #4 |
От: пламен |
Дата: 01/22/2006 |
фтп протокола работи с два порта единия е само за контрол на
връзката - 20 по тсп и удп, а 21(тсп,удп) е за трансфер на
данни, гледай да не омажеш нещата !!!
|
Отговор #5 |
От: пламен |
Дата: 01/22/2006 |
Обратното 21 контрол, 20 дата.
|
Отговор #6 |
От: слакфен |
Дата: 01/23/2006 |
Значи предлагаш да шейпна и двата порта?
iptables -A FORWARD -p tcp -m connlimit --connlimit-above 1
-s $IP_client -d data.bg --dport 21 -j REJECT
iptables -A FORWARD -p tcp -m connlimit --connlimit-above 1
-s $IP_client -d data.bg --dport 20 -j REJECT
|
<< интересно ми е колко е голямо ядрото (2
) | Debian GNU/Linux - пакети (4
) >>
|
|
|
|
|