+ Responder ao Tópico



  1. 10. - Limite de Conexao (connlimit)
    O Objetivo principal do uso do connlimit é sobre a limitação de softwares p2p. Analisando o tráfego desse tipo de software, percebemos que tinha que atacar diretamente o fato deles abrirem muitas conexões simultâneas, mas, em alguns casos não é interessante limitar todas as portas, principalmente se parte de seus clientes são empresas e precisam de acesso full, o que é necessário então é limitar somente o P2P.

    Faremos 2 tipo de limitacao:
    1 somente para as portas nativas e outra para as portas nao nativas
    10.1 - Limitando Portas nativas
    crie uma tabela chamada CONNLIMIT.
    coloque nessa tabela as principais portas: 20,21,23,25,53,110,443,1863,2210,31 28,5600,8080,8081

    no final, ative o limite de 96 conexao simultaneas (--connlimit-above 96) para cada ip na rede (--connlimit-mask 32).
    PS limite pode ser alterado ao seu gosto...

    PS:alterando o (--connlimit-mask 32) para (--connlimit-mask 24) vc ira limitar uma rede ao todo, ao total de conexoes configuradas.
    aqui eu deixei em "32", pois assim eu limito ip por ip.

    # Connlimit
    # Controle de conexao
    iptables -t mangle -N CONNLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 20,21,23,25,53,110,443 -j CONNLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 1863,2210,3128,5600,8080,8081 -j CONNLIMIT
    iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 96 --connlimit-mask 32 -j DROP
    echo " Connlimit porta nativa iniciado...............[ OK ]"
    10.2 - Limitando Portas nao nativas
    aqui eu criei uma outra tabela chamada CONLIMIT.
    e limitei todas as outras portas para um total de 45 conexoes simultaneas...
    iptables -t mangle -N CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 1:19 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 22,24 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 26:52 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 54:79 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 81:109 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 111:442 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 444:1862 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 1864:2209 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 2211:3127 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 5601:8079 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 8082:65535 -j CONLIMIT
    iptables -t mangle -A CONLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 45 --connlimit-mask 32 -j DROP
    echo " Connlimit portas nao nativa iniciado..........[ OK ]"

    PS : Adicione essas regras antes da regra de Controle de acesso

    10.3. - LINKs EXTRAS
    Cotidiano em Linux: Limitando o tráfego P2P com Layer7 e Connlimit
    https://under-linux.org/f88121-relat...neas-connlimit
    Última edição por AndrioPJ; 02-10-2009 às 13:43.

  2. Parabéns....
    Muito bom...
    São pessoas iguais a você que representam verdadeiramente o Espírito Livre...

    Viva o Linux!
    Viva a liberdade de conhecimento...

    Abraços,
    Fabiocs



  3. Continua...
    reservado para:
    Relatorios... (Squidgraph e Sarg);
    Thunder Cache 3 - Aguardando versao final.
    Última edição por AndrioPJ; 04-10-2009 às 16:00.

  4. Nossa meu amigo você mandou muito bem.
    Está de parabéns



  5. Parabens pelo esforço.






Tópicos Similares

  1. Respostas: 9
    Último Post: 26-02-2015, 16:06
  2. Preciso de um servidor de cache que seja funcional
    Por elvisjunior no fórum Servidores de Rede
    Respostas: 40
    Último Post: 21-03-2014, 18:00
  3. virus na rede (Servidor Fedora em modo de texto)
    Por ronaldomacklaus no fórum Servidores de Rede
    Respostas: 5
    Último Post: 13-06-2008, 13:31
  4. Script para inclusão de clientes em servidor fedora 5
    Por fenix_se no fórum Linguagens de Programação
    Respostas: 0
    Último Post: 20-11-2006, 19:43
  5. Servidor/Proverdor de contas Shell
    Por no fórum Servidores de Rede
    Respostas: 4
    Último Post: 06-11-2002, 14:50

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L