Re[2]: Как обрубить уже установленное соединение на файрволе?
Hello Дмитрий,
Monday, October 6, 2003, 3:43:27 PM, you wrote:
ДФ> ----- Original Message -----
ДФ> From: "Dmitry Marin" <corvax@ite.ru>
ДФ> To: <debian-russian@lists.debian.org>
ДФ> Sent: Monday, October 06, 2003 5:00 PM
ДФ> Subject: Как обрубить уже установленное соединение на файрволе?
>> Здравствуйте. Не могу найти решение стандартными средствами такой вот
>> проблемы: делаем систему учета трафика, в которой хотелось бы при
>> достижении определенным пользователем лимита траффика, отключать его.
>>
>> Вроде бы все просто, скриптом проверяем значение счетчиков, сверяемся
>> с хранящимся где-то значением лимита и, если эти два числа равны, либо
>> первое больше второго, то с помощью iptables добавляем правило,
>> запрещающее прохождение пакетов от\к "провинившемуся" ip.
>> Не работает в этой схеме вот что -- если есть установленное
>> tcp-соединение, то оно не обрывается.
ДФ> Видимо имеется общее правило, применяющееся для уже установленных
ДФ> соединений и разрешающее прохождение пакетов (iptables умеют отслеживать
ДФ> состояние соединения).
ДФ> Запрещающее правило нужно добавлять перед этим общим разрешающим правилом.
Ага, вот оно что :) Спасибо!
>> Поиск в google подсказал tcpkill, но в составе дистрибутива я такой
>> программы не обнаружил, а хочется что-нибудь более-менее стандартное.
ДФ> В пакете dsniff, который можно обнаружить, набрав "apt-cache search
ДФ> tcpkill".
К вопросу о dselect vs apt. Так привык к dselect... Надо наверстывать
упущенное :-)
>> ifdown-ifup также не хочется использовать.. Есть идеи?
ДФ> Огромный выбор идей - в IP-Masquerade-HOWTO.
ДФ> Дмитрий Федосеев.
--
Дмитрий Марин <corvax@ite.ru>
CORVAX-RIPN
_______________________________
Dmitry A. Marin <corvax@ite.ru>
CORVAX-RIPN
Reply to: