Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam, mam zainstalowanego Debian 40r5 i przekompilowanego kernel zgodnie z postem:
[url]http://forum.dug.net.pl/viewtopic.php?id=9452[/url]
tj.
linux-2.6.26.6:
- imq, esfq, wrr, rtsp, chaostables, layer7, zph, routes, TARPIT, ACCOUNT, IPMARK, IPV4OPTSSTRIP, ROUTE, condition, geoip, ipp2p, account, ipv4options, set, weburl
iptables-1.4.1.1:
- imq, chaostables, layer7, TARPIT, ACCOUNT, IPMARK, IPV4OPTSSTRIP, ROUTE, condition, geoip, ipp2p, account, ipv4options, set, weburl
iproute2-2.6.26:
-esfq, wrr, srr
Wszystko identycznie zrobiłem jak na stronie:
[url]http://ellebian.pl/opis.html[/url]
dodałem jeszcze WEBIMNa itp.
Mam teraz takie pytanie, co mam robić dalej aby mój router-serwer poprawnie dzielił pasmo, blokował p2p itd.
Mój serwer ma eth0 - interfejs zewnętrzny (WAN) eth1 - interfejs wewnętrzny (LAN). "skonfigórowałem" firewalla (powiedzmy) czyli mam neta już na eth1.
I teraz mam takie pytanko, co dalej bo już naprawdę niem pojęcia, mógł by mi ktoś pomóc. co dalej mam instalować lub konfigurować.
HTB? HFSC? dopiero zaczynam zabawę z Linuxem.
Proszę o wyrozumienie, googlowałem nie dzień nie dwa, ale niestety dalej nie wiem co mam robić tzn co instalować? co konfigurować?
Z góry dziękuję za pomoc,
PS. nie oczekuję odpowiedz typu google, czy szyderczych, po to moim zdaniem jest forum aby pytać. NIKT nie był od razu mega Administratorem :)
Więc proszę o wyrozumienie i pomoc.
Ostatnio edytowany przez tmq (2008-11-25 17:43:16)
Offline
http://dug.net.pl/texty/htb.pdf - dzielenie pasma
blokowanie p2p : iptables -I FORWARD -m layer7 --l7proto gnutella -j DROP np takie polecenie, generalnie poczytaj o layer7
Ostatnio edytowany przez stepien86 (2008-11-25 19:33:19)
Offline
Ja mam taki skrypcik i smiga mi niesamowicie. Jest tam i dzielenie predkosci i blokowanie stron mozna tez dodac wiele wiele innych rzeczy
#!/bin/sh # interfejsy LO_IFACE="lo" WAN_IFACE="eth1" LAN_IFACE="eth0" WAN_IP=`ifconfig $WAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1` LAN_IP=`ifconfig $LAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1` #adresy IP LO_IP="127.0.0.1" # ścieşka do iptables IPTABLES="/usr/sbin/iptables" # Wlaczenie mechanizmu wykrywania oczywistych falszerstw echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter # Ochrona przed atakiem typu Smurf echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Nie aktceptujemy pakietow "source route" echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route # Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects # Wlaczamy ochrone przed blednymi komunikatami ICMP error echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # Wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow echo "1" > /proc/sys/net/ipv4/conf/all/log_martians # Limitowanie sesji tcp echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time echo "0" > /proc/sys/net/ipv4/tcp_window_scaling echo "0" > /proc/sys/net/ipv4/tcp_sack echo "20" > /proc/sys/net/ipv4/ipfrag_time echo "1280" > /proc/sys/net/ipv4/tcp_max_syn_backlog # TCP timestamps protection echo "1" > /proc/sys/net/ipv4/tcp_timestamps # Ignore redirected packets echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects # uruchomienie przekazywania pakietow IP miedzy interfejsami echo "1" > /proc/sys/net/ipv4/ip_forward # uniemoşliwia udostepnianie netu dalej echo "1" > /proc/sys/net/ipv4/ip_default_ttl #$IPTABLES -t mangle -A PREROUTING -i ${LAN_IFACE} -j TTL --ttl-set 1 # czyszczenie regul iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X # ustawienie polityk na DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i ${LO_IFACE} -j ACCEPT iptables -A FORWARD -o ${LO_IFACE} -j ACCEPT # Polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED #TTL Ukrycie naszej maskarady iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64 iptables -t mangle -A FORWARD -j TTL --ttl-set 64 iptables -t mangle -A PREROUTING -j TTL --ttl-set 64 # Squid przekierowanie #iptables -t nat -I PREROUTING -s ${LAN_IP_RANGE} -p tcp --dport 80 -j REDIRECT --to-port 8080 # zezwolenie na pingowanie iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 6/minute -j ACCEPT #Zabezpieczenie skanowania routera iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-level debug --log-prefix 'SCAN: ' iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #zezwolenie na polaczenie dla ip iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 700 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 700 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 773 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 773 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 10000 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 10000 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 8767 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 8767 -j ACCEPT iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 14534 -j ACCEPT iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 14534 -j ACCEPT # otwarcie portow iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT #iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8767 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 8767 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 20100 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 20100 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 27950:27960 -j ACCEPT iptables -A INPUT -p udp -m state --state NEW -m udp --dport 27950:27960 -j ACCEPT iptables -A INPUT -s 0/0 -d $LAN_IP -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -s 0/0 -d $LAN_IP -p udp --dport 80 -j ACCEPT iptables -A INPUT -s 0/0 -d $LAN_IP -p tcp --dport 8080 -j ACCEPT iptables -A OUTPUT -s 0/0 -d $LAN_IP -p udp --dport 8080 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s 192.168.0.255 -j REDIRECT --to-port 700 iptables -t nat -A PREROUTING -p udp -s 192.168.0.255 -j REDIRECT --to-port 700 #nobek iptables -t nat -A POSTROUTING -s 192.168.0.11 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:1b:77:cf:88:fa -j ACCEPT #nobek kom iptables -t nat -A POSTROUTING -s 192.168.0.12 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:1c:d6:34:29:a7 -j ACCEPT #robek laptop iptables -t nat -A POSTROUTING -s 192.168.0.60 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:21:5c:29:8f:5f -j ACCEPT #robek komp2 #iptables -t nat -A POSTROUTING -s 192.168.0.61 -j MASQUERADE #iptables -A FORWARD -m mac --mac-source 00:1f:3c:16:02:e6 -j ACCEPT #mac zablokowany iptables -A FORWARD -m mac --mac-source 00:13:5f:07:6a:05 -j DROP iptables -A FORWARD -m mac --mac-source ff:ff:ff:ff:ff:ff -j DROP tc qdisc del root dev eth0 2>/dev/null tc qdisc del root dev eth1 2>/dev/null iptables -t mangle -D POSTROUTING -o eth1 -j MYSHAPER-OUT 2>/dev/null iptables -t mangle -F MYSHAPER-OUT 2>/dev/null iptables -t mangle -X MYSHAPER-OUT 2>/dev/null #DOWNLOAD tc qdisc add dev eth0 root handle 1:0 htb tc class add dev eth0 parent 1:0 classid 1:1 htb rate 9000kbit ceil 9000kbit tc class add dev eth0 parent 1:1 classid 1:2 htb rate 480kbit ceil 480kbit tc class add dev eth0 parent 1:1 classid 1:3 htb rate 8500kbit ceil 8500kbit tc class add dev eth0 parent 1:2 classid 1:4 htb rate 360kbit ceil 480kbit tc class add dev eth0 parent 1:2 classid 1:5 htb rate 96kbit ceil 128kbit tc filter add dev eth0 protocol ip preference 1 parent 1:5 u32 match ip \ src 192.168.0.11 flowid 1:1 tc filter add dev eth0 protocol ip preference 1 parent 1:0 u32 match ip \ dst 192.168.0.12 flowid 1:1 tc filter add dev eth0 protocol ip preference 1 parent 1:0 u32 match ip \ dst 192.168.0.60 flowid 1:5 tc filter add dev eth0 protocol ip preference 1 parent 1:0 u32 match ip \ dst 192.168.0.61 flowid 1:5 tc qdisc add dev eth0 parent 1:3 handle 3:0 sfq perturb 10 tc qdisc add dev eth0 parent 1:4 handle 4:0 sfq perturb 10 tc qdisc add dev eth0 parent 1:5 handle 5:0 sfq perturb 10 #UPLOAD tc qdisc add dev eth1 root handle 1:0 htb tc class add dev eth1 parent 1:0 classid 1:1 htb rate 120kbit ceil 120kbit quantum 16 tc class add dev eth1 parent 1:1 classid 1:2 htb rate 40kbit ceil 96kbit quantum 4 tc class add dev eth1 parent 1:1 classid 1:3 htb rate 40kbit ceil 96kbit quantum 4 tc class add dev eth1 parent 1:1 classid 1:4 htb rate 40kbit ceil 96kbit quantum 4 tc qdisc add dev eth1 parent 1:2 handle 2:0 sfq perturb 10 tc qdisc add dev eth1 parent 1:3 handle 3:0 sfq perturb 10 tc qdisc add dev eth1 parent 1:4 handle 4:0 sfq perturb 10 tc filter add dev eth1 protocol ip preference 1 parent 1:0 handle 20 fw flowid 1:2 tc filter add dev eth1 protocol ip preference 1 parent 1:0 handle 21 fw flowid 1:3 tc filter add dev eth1 protocol ip preference 1 parent 1:0 handle 22 fw flowid 1:4 iptables -t mangle -N MYSHAPER-OUT iptables -t mangle -I POSTROUTING -o eth1 -j MYSHAPER-OUT iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.11 -j MARK --set-mark 22 iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.12 -j MARK --set-mark 22 iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.60 -j MARK --set-mark 20 iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.61 -j MARK --set-mark 20 iptables -t mangle -A MYSHAPER-OUT -m mark --mark 0 -j MARK --set-mark 20 #zabronione strony www iptables -I FORWARD -d 195.122.131.13/24 -j DROP /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00119 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.129.70.162' WHERE u.id=1 |
0.00072 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.129.70.162', 1731738989) |
0.00048 | SELECT * FROM punbb_online WHERE logged<1731738689 |
0.00081 | SELECT topic_id FROM punbb_posts WHERE id=104527 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=12824 ORDER BY posted |
0.00080 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=12824 AND t.moved_to IS NULL |
0.00015 | SELECT search_for, replace_with FROM punbb_censoring |
0.00155 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=12824 ORDER BY p.id LIMIT 0,25 |
0.00077 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=12824 |
Total query time: 0.00668 s |