+ Responder ao Tópico



  1. Citação Postado originalmente por doidopombal Ver Post
    Se liga meu véio... de repente podes me tirar uma dúvida... tenho um zinwell com aprouter 6.1 que permite enviar comandos iptables para o radio...

    Será que esse firmware aceita o pacote CONLIMIT no comando... pois assim poderei limitar o numero de pacotes diretamente no radio do cliente para que não saia o sinal com fluxo grande de pacotes

    EX...

    ANTENA OMNI -- radio server -->>>> <<<<-- radio cliente (que quero bloquear os pacotes -- ANTENA DIRECIONAL

    ABRAÇOS

    A regra é essa:

    iptables -t nat -I PREROUTING -p tcp -s 192.168.2.8 -m iplimit --iplimit-above 30 -j DROP

    Tem que criar uma regra para cada IP que vc quer controlar. Esta regra permite 30 conexoes para o IP 192.168.2.8.

  2. A regra acima, vale para a versao 6.1 (nao testado em outras versoes). Tem que acrescentar a regra no script pessoal ou por ssh, criar um script, torná-lo executável e incluir no init.sh para executar automaticamente ao ligar o AP.



  3. Citação Postado originalmente por antoni Ver Post
    A regra acima, vale para a versao 6.1 (nao testado em outras versoes). Tem que acrescentar a regra no script pessoal ou por ssh, criar um script, torná-lo executável e incluir no init.sh para executar automaticamente ao ligar o AP.
    Entao nesse comando abaixo é só trocar o conlimit por iplimit né?!?!?


    # limite de conexões

    iptables -t mangle -F CONNLIMIT

    iptables -t mangle -N CONNLIMIT

    iptables -t mangle -D FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT

    iptables -t mangle -D FORWARD -p TCP -d 0/0 --dport 1864:65535 -j CONNLIMIT

    iptables -t mangle -A FORWARD -p TCP

  4. Citação Postado originalmente por doidopombal Ver Post
    Entao nesse comando abaixo é só trocar o conlimit por iplimit né?!?!?


    # limite de conexões

    iptables -t mangle -F CONNLIMIT

    iptables -t mangle -N CONNLIMIT

    iptables -t mangle -D FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT

    iptables -t mangle -D FORWARD -p TCP -d 0/0 --dport 1864:65535 -j CONNLIMIT

    iptables -t mangle -A FORWARD -p TCP

    estas regras ai .. nao fazem NADA !!



  5. perae meu veio... nao fale besteira, em qualquer unix faz e muito... segue descricao abaixo:

    1) Crio uma cadeia chamada CONNLIMIT:

    iptables -N CONNLIMIT

    2) Redireciono todos os acessos (portas) que gostaria de limitar para a cadeia CONNLIMIT (no caso, as portas acima de 1024, basicamente, visto que esses softwares tarado usam portas altas, porém, tomando cuidado de deixar fora do controle as portas de serviços conhecidos, como MSN e afins, jogos on-line, vnc, proxy, etc...vou dar alguns exemplos):

    iptables -A FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT (excluindo o MSN = 1863)

    iptables -A FORWARD -p TCP -d 0/0 --dport 1864:3127 -j CONNLIMIT (excluindo a porta do proxy = 3128)

    iptables -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONNLIMIT (excluindo a porta do VNC = 5600)

    iptables -A FORWARD -p TCP -d 0/0 --dport 5601:5899 -j CONNLIMIT (excluindo outra porta do VNC = 5900)

    iptables -A FORWARD -p TCP -d 0/0 --dport 5901:7776 -j CONNLIMIT (excluindo o jogo on-line Lineage = 7777)

    e assim por diante, eu faço "ranges" de IP que excluam as portas de serviços "saudáveis". Ah, e eu também uso o "-p TCP" ou seja, trabalhando apenas com o protocolo TCP, pois o CONNLIMIT só funciona com TCP. Existia um tempo atrás um módulo UDPLIMIT, mas ele é antigo, não sei se dá pra aplicar ele no kernel e no iptables mais recentes...

    3) Agora como todo esse acesso tá passando pela cadeia CONNLIMIT, eu aplico nela a limitação:

    iptables -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 32 -j DROP

    Aqui é que tá o segredo do negócio...hehehe...seguinte:

    obs1: "-m state ! --state RELATED" = usando isso, eu não incluo no DROP os pacotes que forem de retorno, ou seja, se você acessa um site (na porta 80), quando ele mandar uma resposta pra você, ele vai responder nas portas altas (acima de 1024), então, como essa conexão é uma conexão de retorno, excluindo o RELATED não aplica o connlimit, evitando problemas na navegação (principalmente de clientes com rede cheia de computador e com muita requisição - frisando que pra mim, esse cliente é um único IP, porém seus computadores estão todos por trás de NAT.

    obs2: "--connlimit-above 12" = diz que o máximo é 12 conexões simultâneas.

    obs3: "--connlimit-mask 32" = diz que ele vai tratar todos os IPs que passarem pela regra serão tratados isoladamente (ou seja, com a máscara /32, ou, 255.255.255.255), o que significa que serão 12 conexões simultâneas por IP -> 12 por cliente.

    Bom é isso. Agora rola p2p na rede, sem prejudicar a qualidade, sem derrubar repetidora, etc, etc...Mesmo quem insista que os software p2p usem portas UDP, e o connlimit não limita UDP, o tráfego UDP é sempre muito menor que o tráfego TCP, da ordem de 1/4 + ou - , ou seja, limitando o número de conexões simultâneas TCP.


    Agora que sabes que faz TUDO... quero saber se o pacote IPLIMIT funciona similar

    Obrigado






Tópicos Similares

  1. Respostas: 0
    Último Post: 15-05-2008, 22:13
  2. Barrando rede p2p
    Por Daniels no fórum Servidores de Rede
    Respostas: 6
    Último Post: 11-04-2004, 21:11
  3. Bloquear Kazaa e outros serviços P2P
    Por no fórum Servidores de Rede
    Respostas: 6
    Último Post: 12-12-2003, 09:13
  4. Bloquear P2P em somente uma ETH
    Por rafaelpazcolles no fórum Servidores de Rede
    Respostas: 1
    Último Post: 06-06-2003, 20:46
  5. P2P for Linux
    Por B4D_D0G no fórum Servidores de Rede
    Respostas: 2
    Último Post: 16-10-2002, 05:17

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L