Да.
Спасибо, счас поробую.
Спасибо, счас поробую.
» Нужна помощь по Iptables
SIlnur
1 разрешаешь mail.anrb.ru
2 разрешаешь smtp.mail.ru
3 drop ALL 25 TCP
но почему FORWARD а не INPUT?
1 разрешаешь mail.anrb.ru
2 разрешаешь smtp.mail.ru
3 drop ALL 25 TCP
но почему FORWARD а не INPUT?
использовать днс-имена в фаерволе плохая идея - можно не дождаться загрузки фаервола, в плохих случаях - машины.
KUSA
FORWARD там потому, что настраивается маршрутизация а не безопасность localhost-а.
tankistua
Да, идея не очень. А как сделать иначе?
FORWARD там потому, что настраивается маршрутизация а не безопасность localhost-а.
tankistua
Да, идея не очень. А как сделать иначе?
B критерий лимит за что отвечает? ману читал, но не понял
ради проверки сделал -A INPUT -i eth0 -p tcp --sport 80 -m limit --limit 1/second -j ACCEPT
Интернет работает, но скорость маленькая
зы
имеется в виду limit burst
ради проверки сделал -A INPUT -i eth0 -p tcp --sport 80 -m limit --limit 1/second -j ACCEPT
Интернет работает, но скорость маленькая
зы
имеется в виду limit burst
Цитата:
-m limit --limit 1/second -j ACCEPT
принимать 1 пакет в секунду, отсюда и скорость.
Насчёт правил - оба интересные) Я так понял, что вы пытаетесь фильтровать ответы http? Тогда почему бы не использовать "-m state --state RELATED,ESTABLISHED" ?
NightSpamer
Цитата:
Я уже поправил насчет limit
Просто не могу понять limit-burst в сочетаниии с limit как правильно сделать
Цитата:
Буду экспериментировать - других вариантов пока не вижу - не нашел примеров
Попытался для OUTPUT использовать критерий --pid-owner
в результате вычитал, что он не поддерживается начиная с версий ядра 2.6.15 и выше
Неужели убрали на совсем?
Цитата:
Я так понял, что вы пытаетесь фильтровать ответы http?таблица фильтр цепочка входящие - просто я не уверен, что RELATED безобиден (открывает новое соединение-зачем, если сеанс уже начался?)(Вариант с ESTABLISHED более верен, чем с ! --syn)
Я уже поправил насчет limit
Просто не могу понять limit-burst в сочетаниии с limit как правильно сделать
Цитата:
All echo replies will be blocked when the burst value has been exceeded, and then be refilled by the limit value every second.Все эхо ответы будут заблокированы, когда входящие значение было превышено, а затем будет установлен на допустимое(приемлемое) значение каждую секунду.
Буду экспериментировать - других вариантов пока не вижу - не нашел примеров
Попытался для OUTPUT использовать критерий --pid-owner
в результате вычитал, что он не поддерживается начиная с версий ядра 2.6.15 и выше
Неужели убрали на совсем?
Где-то в пояснениях видел забавный "аппаратный аналог": ведро с водой емкостью limit-burst, туда наливают со скоростью limit. Скачать из ведра можно весь объём limit-burst сразу, но тогда потом придётся довольствоваться только потоком limit. Либо ждать, пока не заполнится весь limit-burst снова.
Добавлено:
RELATED безобиден. Для http, возможно, и не нужен. Но, например, правила для ftp без него настроить намного сложнее.
Добавлено:
RELATED безобиден. Для http, возможно, и не нужен. Но, например, правила для ftp без него настроить намного сложнее.
NightSpamer
Цитата:
а я без него обошелся
Цитата:
те исчерпали число подключений и все -- не верится, что-то должно быть
Цитата:
Но, например, правила для ftp без него настроить намного сложнее.
а я без него обошелся
Цитата:
но тогда потом придётся довольствоваться только потоком limit.Те до презагруза компа?
те исчерпали число подключений и все -- не верится, что-то должно быть
KUSA, ну написал-же "Либо ждать, пока не заполнится весь limit-burst снова." и "туда наливают со скоростью limit"
Т.е. при limit-burst=100 и limit=10/second ждать до восстановления первоначального состояния 10 секунд ничего не скачивая.
Т.е. при limit-burst=100 и limit=10/second ждать до восстановления первоначального состояния 10 секунд ничего не скачивая.
NightSpamer
Опять у меня все по своему - скорость не причем, если работает критерий burst-по сути счетчик пакетов,
когда превышено число burst - остановка на прием пакетов - по времени равная limit
При этом пакеты не принимаются, реально снижения скорости нет
У меня так получилось - хотя по сути - у тебя похоже...
Опять у меня все по своему - скорость не причем, если работает критерий burst-по сути счетчик пакетов,
когда превышено число burst - остановка на прием пакетов - по времени равная limit
При этом пакеты не принимаются, реально снижения скорости нет
У меня так получилось - хотя по сути - у тебя похоже...
ушёл сюда
Предыдущая тема: Настройка Webmin под FreeBSD
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.