Re: connlimit
Jak doniosl wywiad/kontrwywiad dnia Wed, 11 Jan 2006 07:19:24 +0100
bieniu gras <bieniu@gras.poznan.pl> napisal(a):
> Witaj lista!
>
> hejka
>
> czy ktos moze mi wyjasnic czy zapis
>
> $IPT -$BLOK FORWARD -s 192.168.1.${x} -p tcp -m connlimit --connlimit-above $CON -j REJECT --reject-with tcp-reset
>
> na poszczeglne adresy ip przykladowo
>
> iptables -I FORWARD -s 192.168.1.2 -p tcp -m connlimit --connlimit-above 300 -j REJECT --reject-with tcp-reset
>
> czyli jak widac limit polaczen nalozony jest na ip 192.168.1.2 i
> wynosi 300 polaczen powyzej teoretycznie ma byc resetowany kazdy
> pakiecik TCP - dobrze to rozumiem ?
>
> widze ze pakiety sa resetowane po iptables -L -v dla niektorych ip -
> zapewne masakryczne torenty odpalone maja :)
>
> pytanie czy ten zapis moze powodowac ze po przekroczeniu limitu nagle
> zupelnie wszystkie proby nawiazywania polaczenia z tego komputera beda
> resetowane nawet gdy juz komputer nie generuje ruchu ???
>
> mam taki przypadek i nie wiem co myslec o tym connlimit juz totalnie
> zglupialem
>
> czy gdzies moze sie zapychac na serwerze cos dla danego ip z LANu ???
>
>
> dajcie znac
>
> --
> Pozdrowienia,
> bieniu gras
>
>
Witaj,
temat connlimit'a i problemów z tym kilka razy przewinąl sie na różnych listach (dokładnie twój problem), niestety nie pamiętam gdzie...
natomiast dobrze pamietam rozwiazanie (wlasnie przy p2p) - kolejkowanie QoS i limitowac pasmo - to byla najczestsza odpowiedź.
Connlimit (podobna) tak już ma.
Pozdrawiam
--
Jerzy <sm0q> Patraszewski
patrasze{at}wszib{dot}edu{dot}pl
sm0q{at}rootshell{dot}be
Reply to: