Re: Как обрубить уже установленное соединение на файрволе?
----- Original Message -----
From: "Dmitry Marin" <corvax@ite.ru>
To: <debian-russian@lists.debian.org>
Sent: Monday, October 06, 2003 5:00 PM
Subject: Как обрубить уже установленное соединение на файрволе?
> Здравствуйте. Не могу найти решение стандартными средствами такой вот
> проблемы: делаем систему учета трафика, в которой хотелось бы при
> достижении определенным пользователем лимита траффика, отключать его.
>
> Вроде бы все просто, скриптом проверяем значение счетчиков, сверяемся
> с хранящимся где-то значением лимита и, если эти два числа равны, либо
> первое больше второго, то с помощью iptables добавляем правило,
> запрещающее прохождение пакетов от\к "провинившемуся" ip.
> Не работает в этой схеме вот что -- если есть установленное
> tcp-соединение, то оно не обрывается.
Видимо имеется общее правило, применяющееся для уже установленных
соединений и разрешающее прохождение пакетов (iptables умеют отслеживать
состояние соединения).
Запрещающее правило нужно добавлять перед этим общим разрешающим правилом.
> Поиск в google подсказал tcpkill, но в составе дистрибутива я такой
> программы не обнаружил, а хочется что-нибудь более-менее стандартное.
В пакете dsniff, который можно обнаружить, набрав "apt-cache search
tcpkill".
> ifdown-ifup также не хочется использовать.. Есть идеи?
Огромный выбор идей - в IP-Masquerade-HOWTO.
Дмитрий Федосеев.
Reply to: