Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

ograniczenie po

https://www.debian.pl/viewtopic.php?t=17562

Strona 1 z 1

ograniczenie połączeń

: 19 lutego 2010, 13:09
autor: Luc3k
Mam w sieci użytkownika, który nagminnie nawiązuje dużą ilość połączeń. Najprawdopodobniej jest to jakiś p2p. Tu pojawia się kłopot bo połączenia, które nawiązuje idą przez UDP. Czy da się to jakoś sensownie ograniczyć przy pomocy iptables?

: 19 lutego 2010, 13:55
autor: lessmian2
Luc3k pisze:Da się to jakoś sensownie ograniczyć przy pomocy iptables?
Pewnie że można:

Kod: Zaznacz cały

iptables -A OUTPUT -p udp -m owner --uid-owner nick -m connlimit --connlimit-above limit -m multiport --dport porty -j REJECT
Nie testowałem, ale powinno zadziałać :->

: 19 lutego 2010, 14:08
autor: Luc3k
A gdybym to chciał zastosować tylko do jednego adresu ip?

: 19 lutego 2010, 14:13
autor: lessmian2
To:

Kod: Zaznacz cały

man iptables

Kod: Zaznacz cały

       [!] -s, --source address[/mask]
              Source specification. Address can be either a network name, a hostname (please note that specifying any name to be resolved with a remote query such as DNS is a
              really bad idea), a network IP address (with /mask), or a plain IP address.  The mask can be either a network mask or a plain number, specifying the  number  of
              1’s at the left side of the network mask.  Thus, a mask of 24 is equivalent to 255.255.255.0.  A "!" argument before the address specification inverts the sense
              of the address. The flag --src is an alias for this option.

Kod: Zaznacz cały

[!] -d, --destination address[/mask]
              Destination specification.  See the description of the -s (source) flag for a detailed description of the syntax.  The flag --dst is an alias for this option.

: 19 lutego 2010, 15:02
autor: mariaczi
Wydaje mi się, że w regule trzeba zastosować łańcuch FORWARD nie OUTPUT gdyż ruch przechodzi przez maszynę, która dzieli i udostępnia połączenie do internetu.

: 19 lutego 2010, 15:18
autor: lessmian2
mariaczi pisze:Wydaje mi się, że w regule trzeba zastosować łańcuch FORWARD
Luc3k nic nie napisał dokładnie skąd, dokąd, gdzie, przez co itp. chce ustawić limit. Jak napisze, to będzie wiadomo w który łańcuch wsadzić regułkę.

: 19 lutego 2010, 20:15
autor: Luc3k
Cały ruch idzie przez serwer najprostszą z możliwych metod. Modem - Serwer - NAT - użytkownicy.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl