Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam serdecznie. Chcialbym z wami przedyskutować kwestie firewalla prorukowanego za pomoca iptables. Uzywam obecnie skryptu z artykulu "Udostępnianie połączenia internetowego". Wszystko działa poprawnie. Jednak chciałbym dołączyć do Tego Funkcję taką aby:
1) ustawic limit, ze dana osoba nie moze miec całkowitego Downloadu wiecej niz 20 MB w ciągu 2 Godzin, jesli by przekroczyla ten warunek to prędkość udostępnionego łącza spadnie do 6 KB na następne 2 godziny i zeby to obowiązywało w czasie od godziny 10:00 Nad ranem do godziny 1 W Nocy.
2) obowiązywał limit na 10 połączeń wchodzących + wychodzących dla danego komputera całą dobę.
Czekam na opinie i rady specjalistow.
Offline
Musiałbyć w oparciu ipt_account napisać jakieś "shitty logic" które to czesało by statystyki i w razie czego zmieniało wartości kolejek.
20MB w 2h ... nie chciałbym mieć neta od Ciebie :)
PS obczaj też
http://netfilter.org/projects/patch-o-matic/pom-base.html#pom-base-quota
http://netfilter.org/projects/patch-o-matic/pom-base.html#pom-base-time
http://netfilter.org/projects/patch-o-matic/pom-extra.html#pom-extra-account
Offline
ale to byłoby doskonałę rozwiązanie na rozładowanie ruchu w 30 osobowej sieci gdzie download na maxa idzie 2 Mb, a łącze ma limit 100 chyba połączeń. czy ktos mogłby zapodać jakąś instrukcją lub skryptem?
Offline
....czy ktos mogłby zapodać jakąś instrukcją lub skryptem?[/quote]
Kolego!!! GOOGLE twoim przyjacielem - to nie boli. Zareczam ze jak troche 'wejdziesz' w temat to nawet twoje pytania beda... hmm 'konkretniejsze'
Offline
spidersb napisał:
....czy ktos mogłby zapodać jakąś instrukcją lub skryptem?
Kolego!!! GOOGLE twoim przyjacielem - to nie boli. Zareczam ze jak troche 'wejdziesz' w temat to nawet twoje pytania beda... hmm 'konkretniejsze'
[/quote]
Ja ci powiem "kolego" ze odpowiedzi na takie pytania jak te pojawiaja sie właśnie na takich forach ja te.
Sprawa wyglada tak, ze wydaje mi sie ze moje iptables jest tak jakby niekompletny. Czy ktos potrafi mi pomoc?
1) Instaluje linucha
2) buduje firewalla
3) dodaje wpisy iptables z connlimit i nie działa.
4) Potrzebuje pomocy bo marny ze mnie linuxiarz - chcę powiekszyć swoją wiedzę poprzez wasze doświadczenie.
5) Liczę na waszą pomoc.
Offline
Witam serdecznie. Chcialbym z wami przedyskutować kwestie firewalla prorukowanego za pomoca iptables. Uzywam obecnie skryptu z artykulu "Udostępnianie połączenia internetowego". Wszystko działa poprawnie. Jednak chciałbym dołączyć do Tego Funkcję taką aby:
1) ustawic limit, ze dana osoba nie moze miec całkowitego Downloadu wiecej niz 20 MB w ciągu 2 Godzin, jesli by przekroczyla ten warunek to prędkość udostępnionego łącza spadnie do 6 KB na następne 2 godziny i zeby to obowiązywało w czasie od godziny 10:00 Nad ranem do godziny 1 W Nocy.
2) obowiązywał limit na 10 połączeń wchodzących + wychodzących dla danego komputera całą dobę.
[/quote]
jesli moge cos poradzic od siebie: zamiast tego proponuje zapodac dobrze skonfigurowane kolejki w htb: zapobiegna wysyceniu lacza przez jednego usera, nie bedzie lagow u innych jesli jeden maniak p2p kopiuje internet, czesciowo rozwiazujesz problem z wirusami zapychajacymi lacze.
Co do ograniczenia ilosci polaczen: modul connlimit. Ale szczeze mowiac to nie bardzo kumam: masz 100 polaczen dla usera czy 100polaczen moze max obsluzyc Twoje lacze ??
connlimit jest bardzo nieskuteczny, ograniczy tylko pol. tcp, torenty i gnutella (inne p2p tez) nawiazuje nieraz setki na udp - i tu masz problem.
Proponuje ograniczyc/rozkladac ruch miedzy klientow przy pomocy htb, jesli ograniczac to tylko ilosc pps'ow a nie polaczen.
firewall dystrybucyjny jest "niekompletny"
sciagasz najnowsze iptables z netfilter.org, z tamtad tez patch-o-matic jesli potrzebujesz dodatkowe moduly.
kompilujesz recznie kernela - patchujesz p-o-m'em co Ci potrzeba (jak sciagniesz to szczegoly sa w readme jak tego urzywac) i zaznaczasz w kernelu odp. pozycje.
Nastepnie jak juz odpalisz na nowym kernelu to kompilujesz iptables.
Bardziej szczegolowy opis jest bodajrze w dziale artykuly, jak sie zapoznasz (czyt. najlepiej wszystko co neta/kernela dotyczy) to pytaj jesli sobie nie radzisz.
pozdr
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
Szczur dzieki!. widze ze kumasz troszke sprawe. mam 100 polaczen na serwer ://. htb to dla mnie wyzsza szkola jazdy. moze to zostawie sobie na czas kiedy obczaje iptables.
boje sie sam kompilowac jądro. nowe iptables nic nie da? trzeba rzeczywiscie grzebac w jaju?ehh ...
Offline
czy sie nie da bez jaja - nie wiem - nigdy tak nie probowale i nie mam szczeze mowiac koncepcji... a swoja droga to nawet nie wyobrazam sobie jak mozna na jajku dystrybucyjnym routerek postawic: zawsze czegos brakuje, jak skompilujesz to jest szybsze, lepiej dostosawane itd - nie widze zadnych wad a jedynie same zalety - wiec od tego moim zdaniem powinienes zaczac.
o htb masz cala mase artykolow - niektore sa naprawde proste, zacznij od dzialu artykuly na dug.net.pl :)
oczywiscie wczesniej opanuj kompilacje jajka i iptables - htb to juz bedzie tylko "dodatek"
pozdr
Offline
czy najpierw sciagnac iptables a dopiero pozniej przekompilowac jadro, czy jak to zrobic?
Offline
Też kiedyś myślałem że kompilacja jajka to wyższa szkoła jazdy.. ale nie :). Po prostu wywal wszystko czego nie masz/nie jest ci potrzebne. Potem ściągnij IPtables z netfilter.org spaczuj patch-o-maticiem ( czy jak tam się to pisze ) i skompiluj. Po sprawie :)
Offline
jest (gdzies na tym forum chyba nawetl ink) stronka na ktorej PO POLSKU sa opisane opcje konfiguracyjne jajka - jesli to znajdziesz to bedziesz mial wszystko jak na dloni, jesli jakiejs opcji nie bedziesz pewien (zero pojecia od czego to jest) wtedy zostawiaj wartosc zalecana.
proponuje zaczac wlasnie od jajka - jak uzyskasz optymalna i stabilna konfiguracje to dopiero zabierz sie za iptables.
jesli bedzie juz jajko to do iptables masz DWA polecenia zeby skompilowac - wiec skup sie tylko na jajku narazie. patche do iptables/jajka tez sa dziecinnie proste (z regoly) jedno-poleceniowe, wiec narazie czytaj teorie kompilacji jaja + poszukaj tej stronki z opisami PL
co do wersji polecam Ci 2.6.15.7 - powyzej tej serii (2.6.16x) jaja maja juz troszke inna strukture i mozesz sie nie polapac (sam mam problemy:))
pozdr
Offline
ale to byłoby doskonałę rozwiązanie na rozładowanie ruchu w 30 osobowej sieci gdzie download na maxa idzie 2 Mb, a łącze ma limit 100 chyba połączeń. czy ktos mogłby zapodać jakąś instrukcją lub skryptem?[/quote]
to jest chyba joke? :)
Jeśli nie to ja tym twoim userom szczerze współczuje...
Offline
łącze ma limit 100
[/quote]
zignorowalem wogole ta informacje: 2mbit przy 100polaczeniach to jest niemozliwe, wiec kolega poprostu chyba sie pomylil/zle uslyszal :)
udawajmy wiec ze tego nie bylo.... =)
pozdr
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
"]
łącze ma limit 100
[/quote]
zignorowalem wogole ta informacje: 2mbit przy 100polaczeniach to jest niemozliwe, wiec kolega poprostu chyba sie pomylil/zle uslyszal :)
udawajmy wiec ze tego nie bylo.... =)
pozdr[/quote]
niby czemu nie możliwe?Offline
oczywiscie ze mozliwe. wkurza mnie troszke limit polaczen. dodam do tego ze moj serwer to pentium 100 i posiada 32 MB Ram-u. Hdd - 3 GB. Swap 100 MB
Offline
eeeeee powiedz ze zartujesz.....
z kad masz to lacze i jakie dokladnie ??
pozdr
Offline
Nie masz żadnych szans aby podzielić to na tyle osób... Zresztą w ogóle nie widze możliwości dzielenia łącza które posiada "limit połączeń", zmień dostawce jak chcesz dzielić...
Offline
hmm... sprawa wyglada tak ze mam internet od zwyklej firmy, a nie od potężnego dostawcy łącza. i nie mam tego na sieć ale na jedna osobę, wiec nie dziwcie sie ze admin firmy zastosował takie restrykcje. na jedną osobę limit nie stwarza problemu, ale na 30 osob siedzacych na jednym kompie to raczej tak. nie prawcie tu moralow o tym i o tamtym, dsl tez ma limit połaczen. skupcie sie lepiej na temacie bo jest dos powazny, a nie do pogaduszek.
Offline
skoro chcesz dzielic koncowke kliencka w takich warunkach na 30osob to faktycznie jak kolega zauwarzyl - nie ma to sensu. lepiej sie opamietaj i zamow dsla - limit powiadasz na dslu ?? nieraz mi wisi po kilka tysiecy jak p2p zapuszczone i nie udalo mi sie jeszcze go na sieci przekroczyc.... wiec nawet jak jest to dosc duzy zeby kilkadziesiat osob obsluzyc.
nawet jesli dobrze podzielisz pasmo to ze 100polaczen nic nie wskurasz: bedzie straszna masakra.
na 30osob podziel dsl 4m po promocji - 400zl/mies zarobisz na tym pare zl. nawet jak dasz abonament po 30-40zl.
pozdr
Offline
hmm... sprawa wyglada tak ze mam internet od zwyklej firmy, a nie od potężnego dostawcy łącza. i nie mam tego na sieć ale na jedna osobę, wiec nie dziwcie sie ze admin firmy zastosował takie restrykcje. na jedną osobę limit nie stwarza problemu, ale na 30 osob siedzacych na jednym kompie to raczej tak. nie prawcie tu moralow o tym i o tamtym, dsl tez ma limit połaczen. skupcie sie lepiej na temacie bo jest dos powazny, a nie do pogaduszek.[/quote]
1. Powinenes byc kontent ze wogole dostajesz odp na taki 'problem'
2. Nawet potezny dostawca daje pewien limit dla juzera - wlasnie gdzies w okolicy 100 do 150 polaczen na osobe.
3. Sluchaj jak ci radza zeby wziac sie za to normalnie a nie od 'dupy strony'
4. Przewaznie dzieki takim 'pogaduszkom' rodza sie rozwiazania 'powaznych spraw'
5. Ufff... zjadliwie napisalem ale mnie to wkur...wia - takie wyciaganie informacji na dosc znane problemy. Wiem ze 'kolega' /tak sie zastanawiam dlaczego to ma byc w skowkach, juz gdzies przy okresleniu mojej osoby tak napisano.../ nie stroni od forum DUGa, ale to nie jedyne zrodlo wiedzy w inecie, wiec nie poprzestawaj stary na tym forum i rusz troche komputerem w internecie...
5. Popatrz np.: [url]http://forum.inet.ll.pl/viewforum.php?f=2[/url] ew. moze to cie natchnie: [url]http://newbie.linux.pl/?id=article&kategoria=4&show=247[/url]
Pozdrawiam!
Offline
mysliciele od siedmiu bolesci. mie mam skad wykombinowac dsl-a, chociaz bardzo bym chcial. to jest jedyny dostawca w tamtym rejonie o wmiare stabilnym laczu. jest to radiowka dzialajaca na sptzecie 5 GHz.
Offline
[quote="spidersb"]mysliciele od siedmiu bolesci. mie mam skad wykombinowac dsl-a, chociaz bardzo bym chcial. to jest jedyny dostawca w tamtym rejonie o wmiare stabilnym laczu. jest to radiowka dzialajaca na sptzecie 5 GHz.[/quote]
oj stary nie przesadzaj. oni na prawde maja racje. zaczynasz opowiadac bujdy na resorach, ze niie ma z kad wziac dsl-a. a naszego cudownego monopoliste to ty aby znasz ? jest jeszcze paru innych ktorzy ci z checia sprzedadza. wszystko zalezy od kasy.
ale z wlasnego doswiadczenia opowiem ci taki przypadek. pracowalem (krotko ale o tym za chwile) w f-mie panstwowej. tam sobie gosciu wymislil ze postawi serwerek z baza na oraclu i na 2mb bedzie sie do niego laczyc 300 ususiow. czaisz ? no i co - tlumacze gosciowi ze to nie ma sensu (niech sobie podzieli 2mb / 300 i jeszcze troche odejmie i mu wyjdzie) on dalej ze na pewno sie da. to nich sie da. i co ? i jak przyszlo co do czego to przy 20 jednoczesnie djabli wzieli i lacze i serwer. i tyle z tego bylo. i z morda ze dla czego nic nie mowilem. wyciagam kwity i mowie a teraz sie facet wal. i tyle mnie bylo. z tego co wiem to teraz maja >= 6mb i dwa albo trzy serwery. i zaczelo do piero chodzic.
wnioski wyciagnij sobie sam
pozdrawiam
ps. jak sie do piero uczysz to nie wymyslaj innym tylko ich sluchaj.
Offline
mysliciele od siedmiu bolesci. mie mam skad wykombinowac dsl-a, chociaz bardzo bym chcial. to jest jedyny dostawca w tamtym rejonie o wmiare stabilnym laczu. jest to radiowka dzialajaca na sptzecie 5 GHz.[/quote]
Oni sami jadą na DSLu , stąd te pedalskie limity.
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
ja mam tylko 30 userow. nie zamierzam miec siecej niz 35 ludzi.
Offline
w takich warunkach jest to awykonalne nawet dla 10userow - zrozum: jeden facet jest w stanie wykorzystac 100polaczen (p2p,wirus etc.)
a jesli nawet istnieje skuteczny sposob ograniczenia polaczen (wszystkich) per user to: 100:35 ~3 zakladajac ze nie kazdy sieci 24h na dobe powedzmy 15/usera jak to sobie wyobrazasz ??
ten net nie bedzie funkcjonowal przy takiej ilosci... efekt ??
zaczynasz sciagac film/mp3 a tu stronka sie nie otwiera, poczta nie idzie, gg sie rozlaczylo....
sa dwa rozwiazania: dogadac sie z isp i dostac limit conajmniej 400 lub zmienic isp
pozdr
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00093 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.116.40.53' WHERE u.id=1 |
0.00064 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.116.40.53', 1732665309) |
0.00048 | SELECT * FROM punbb_online WHERE logged<1732665009 |
0.00055 | DELETE FROM punbb_online WHERE ident='3.144.6.29' |
0.00058 | DELETE FROM punbb_online WHERE ident='52.167.144.199' |
0.00059 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=5541 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00293 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=5541 ORDER BY p.id LIMIT 0,25 |
0.00100 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=5541 |
Total query time: 0.00791 s |