Re: connlimit

To: "lista debiana" <debian-user-polish@lists.debian.org>
Subject: Re: connlimit
From: "Wojciech Ziniewicz" <wojciech.ziniewicz@gmail.com>
Date: Fri, 26 May 2006 05:05:31 +0200
Message-id: <[🔎] d1473ad90605252005u5faa8519oe40a7cbdb8ea900a@mail.gmail.com>
In-reply-to: <25900882.20060111071924@gras.poznan.pl>
References: <25900882.20060111071924@gras.poznan.pl>

06-01-11, bieniu gras <bieniu@gras.poznan.pl> napisał(a):

Witaj lista!

hejka

czy ktos moze mi wyjasnic czy zapis

$IPT -$BLOK FORWARD -s 192.168.1.${x} -p tcp -m connlimit --connlimit-above $CON -j REJECT --reject-with tcp-reset

na poszczeglne adresy ip przykladowo

iptables -I FORWARD -s 192.168.1.2 -p tcp -m connlimit --connlimit-above 300 -j REJECT --reject-with tcp-reset

czyli jak widac limit polaczen nalozony jest na ip 192.168.1.2 i
wynosi 300 polaczen powyzej teoretycznie ma byc resetowany kazdy
pakiecik TCP - dobrze to rozumiem ?

widze ze pakiety sa resetowane po iptables -L -v dla niektorych ip -
zapewne masakryczne torenty odpalone maja :)

pytanie czy ten zapis moze powodowac ze po przekroczeniu limitu nagle
zupelnie wszystkie proby nawiazywania polaczenia z tego komputera beda
resetowane nawet gdy juz komputer nie generuje ruchu ???

mam taki przypadek i nie wiem co myslec o tym connlimit juz totalnie
zglupialem

ja tylk dodam że zamiast troche "chamskiego" connlimita filtrowalbym
troszke "wyżej" - zainteresuj się layer7-patch. connlimit nie zawsze
jest "polite" w stosunku do userow a layer7 ładnie filtruje
niepotrzebne usługi (torrent,dc itd.)


--
Pozdrawiam,
Wojciech Ziniewicz            | wojciech.ziniewicz@gmail.com
Powered by google.com      | [wanna gmail?]
http://silenceproject.org       | :E

Reply to:

Prev by Date: Re: [Actus] Dni Unixowe w Gdansku 18 i 19 maja.
Next by Date: Re: strona kodowa w Apache
Previous by thread: Re: connlimit
Next by thread: Źródła pakietów
Index(es):
- Date
- Thread