* [Sysadmins] Ограничить количество tcp соединений для каждого IP
@ 2007-02-05 6:27 Pavel Shurubura
2007-02-05 7:02 ` Gennadiy Redko
0 siblings, 1 reply; 9+ messages in thread
From: Pavel Shurubura @ 2007-02-05 6:27 UTC (permalink / raw)
To: sysadmins
Здравствуйте !
CтОит Linux-сервер как маршрутизатор для
лок.сети. Подскажите, как можно ограничить количество
tcp соединений от каждого ip-шника в локалке.
Спасибо.
--
Администратор узла
ООО "ИТЦ XXI-век"
Шурубура П.Н.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP
2007-02-05 6:27 [Sysadmins] Ограничить количество tcp соединений для каждого IP Pavel Shurubura
@ 2007-02-05 7:02 ` Gennadiy Redko
2007-02-05 8:30 ` Serge
2007-02-05 8:31 ` Dmytro O. Redchuk
0 siblings, 2 replies; 9+ messages in thread
From: Gennadiy Redko @ 2007-02-05 7:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Pavel Shurubura пишет:
> Здравствуйте !
>
> CтОит Linux-сервер как маршрутизатор для
> лок.сети. Подскажите, как можно ограничить количество
> tcp соединений от каждого ip-шника в локалке.
Имеются ввиду сессии?
Дело в том, что маршрутизатор не умеет разделять сессии.
Он работает с tcp/udp пакетами.
Для ограничения количества сессий нужно поднять на сервере
какой-нибудь промежуточный сервер.
Например squid для ftp/http-трафика.
>
> Спасибо.
>
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP
2007-02-05 7:02 ` Gennadiy Redko
@ 2007-02-05 8:30 ` Serge
2007-02-05 15:17 ` Ilia Menchikh
2007-02-05 8:31 ` Dmytro O. Redchuk
1 sibling, 1 reply; 9+ messages in thread
From: Serge @ 2007-02-05 8:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Имеются ввиду сессии?
> Дело в том, что маршрутизатор не умеет разделять сессии.
> Он работает с tcp/udp пакетами.
> Для ограничения количества сессий нужно поднять на сервере
> какой-нибудь промежуточный сервер.
> Например squid для ftp/http-трафика.
на предмет чего смотреть в squid для реализации "ограничения количества
сессий" ?
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP
2007-02-05 7:02 ` Gennadiy Redko
2007-02-05 8:30 ` Serge
@ 2007-02-05 8:31 ` Dmytro O. Redchuk
2007-02-05 8:47 ` Sergey
1 sibling, 1 reply; 9+ messages in thread
From: Dmytro O. Redchuk @ 2007-02-05 8:31 UTC (permalink / raw)
To: sysadmins
On Mon, Feb 05, 2007 at 09:02:36AM +0200, Gennadiy Redko wrote:
> Pavel Shurubura пишет:
> > Здравствуйте !
> >
> > CтОит Linux-сервер как маршрутизатор для
> > лок.сети. Подскажите, как можно ограничить количество
> > tcp соединений от каждого ip-шника в локалке.
> Имеются ввиду сессии?
Как я себе представляю, можно использовать ipset + limit/iptables (или
connlimit).
btw, не пробовал Ж-)
Но. ipset и connlimit в альт не впакованы (М24, по кр.мере).
Да и лимиты весьма условные -- хорошо работают только для относительно
малых величин.
> Дело в том, что маршрутизатор не умеет разделять сессии.
> Он работает с tcp/udp пакетами.
> Для ограничения количества сессий нужно поднять на сервере
> какой-нибудь промежуточный сервер.
> Например squid для ftp/http-трафика.
Или так.
>
> >
> > Спасибо.
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP
2007-02-05 8:31 ` Dmytro O. Redchuk
@ 2007-02-05 8:47 ` Sergey
2007-02-05 9:14 ` Dmytro O. Redchuk
0 siblings, 1 reply; 9+ messages in thread
From: Sergey @ 2007-02-05 8:47 UTC (permalink / raw)
To: sysadmins
On Monday 05 February 2007 12:31, Dmytro O. Redchuk wrote:
> Но. ipset и connlimit в альт не впакованы (М24, по кр.мере).
>
> Да и лимиты весьма условные -- хорошо работают только для относительно
> малых величин.
О. А я вот, как раз, сижу и думаю на эту тему (connlimit). В смысле сделать
kernel-feat для текущего ядра или как. Что значит "для относительно малых
величин" ? Это в смысле количество допустимых коннектов, или количество
одновременно долбящихся IP ?
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP
2007-02-05 8:47 ` Sergey
@ 2007-02-05 9:14 ` Dmytro O. Redchuk
0 siblings, 0 replies; 9+ messages in thread
From: Dmytro O. Redchuk @ 2007-02-05 9:14 UTC (permalink / raw)
To: Sergey; +Cc: sysadmins
On Mon, Feb 05, 2007 at 12:47:06PM +0400, Sergey wrote:
> On Monday 05 February 2007 12:31, Dmytro O. Redchuk wrote:
>
> > Но. ipset и connlimit в альт не впакованы (М24, по кр.мере).
> >
> > Да и лимиты весьма условные -- хорошо работают только для относительно
> > малых величин.
>
> О. А я вот, как раз, сижу и думаю на эту тему (connlimit). В смысле сделать
> kernel-feat для текущего ядра или как. Что значит "для относительно малых
> величин" ? Это в смысле количество допустимых коннектов, или количество
> одновременно долбящихся IP ?
Для значения лимита :-)
Максимум, кажется, 10000, а при каких значениях работает относительно
аккуратно -- не скажу, не помню и не знаю.
Такое впечатление, что уже при тысячах работает выразительно неаккуратно.
((Тестировал на гигабитных интелах, при где-то 800kpps, кажется; строил
цепочки из таких лимитов и смотрел результаты.))
Возможно, для ваших задач подойдёт.
Да, кстати, -- это касается, вроде бы, только limit (а не столько
connlimit). Точнее, насколько это касается connlimit -- не скажу.
О, и ещё: не ручаюсь за точность результатов :-) Если кто-то вразумит
меня, буду благодарен.
>
> --
> С уважением, Сергей
> a_s_y@sama.ru
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP
2007-02-05 8:30 ` Serge
@ 2007-02-05 15:17 ` Ilia Menchikh
2007-02-06 8:34 ` Serge
0 siblings, 1 reply; 9+ messages in thread
From: Ilia Menchikh @ 2007-02-05 15:17 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В Пнд, 05/02/2007 в 10:30 +0200, Serge пишет:
> > Имеются ввиду сессии?
> > Дело в том, что маршрутизатор не умеет разделять сессии.
> > Он работает с tcp/udp пакетами.
> > Для ограничения количества сессий нужно поднять на сервере
> > какой-нибудь промежуточный сервер.
> > Например squid для ftp/http-трафика.
> на предмет чего смотреть в squid для реализации "ограничения количества
> сессий" ?
# acl aclname maxconn number
# # This will be matched when the client's IP address has
# # more than <number> HTTP connections established.
--
С Уважением
Илья Меньших
ЗАО Издательский дом "Комсомольская Правда"
mailto: <iluxa@kp.ru>
icq: 175037115
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP
2007-02-05 15:17 ` Ilia Menchikh
@ 2007-02-06 8:34 ` Serge
2007-02-06 9:19 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 9+ messages in thread
From: Serge @ 2007-02-06 8:34 UTC (permalink / raw)
To: iluxa, ALT Linux sysadmin discuss
В сообщении от 5 февраля 2007 17:17 Ilia Menchikh написал(a):
> В Пнд, 05/02/2007 в 10:30 +0200, Serge пишет:
> > > Имеются ввиду сессии?
> > > Дело в том, что маршрутизатор не умеет разделять сессии.
> > > Он работает с tcp/udp пакетами.
> > > Для ограничения количества сессий нужно поднять на сервере
> > > какой-нибудь промежуточный сервер.
> > > Например squid для ftp/http-трафика.
> >
> > на предмет чего смотреть в squid для реализации "ограничения количества
> > сессий" ?
>
> # acl aclname maxconn number
> # # This will be matched when the client's IP address has
> # # more than <number> HTTP connections established.
ок, а если мне нужно для всех хостов некоего диапозона разрешить только 1
коннект - нужно будет в acl указывать каждый ip из диапозона?
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP
2007-02-06 8:34 ` Serge
@ 2007-02-06 9:19 ` Dmitriy L. Kruglikov
0 siblings, 0 replies; 9+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-02-06 9:19 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Вторник, 06 Февраль 2007 года,
Serge писал(а) в сообщении:
S == Serge
S> ок, а если мне нужно для всех хостов некоего диапозона разрешить только 1
S> коннект - нужно будет в acl указывать каждый ip из диапозона?
Нет .... Нужно будет написать acl на диапазон ...
Например
# acl aclname src addr1-addr2/netmask ... (range of addresses)
И будет полезно просто _внимательно_
почитать комментарии в /etc/squid/squid.conf ...
Если вы его не угрохали каким-нибудь webmin,
который эти комментарии вырезает ...
В крайнем случае, можно вытянуть конфиг из rpm ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Мир подобен постоялому двору: один приходит, другой уходит.
-- Армянская мудрость
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2007-02-06 9:19 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-02-05 6:27 [Sysadmins] Ограничить количество tcp соединений для каждого IP Pavel Shurubura
2007-02-05 7:02 ` Gennadiy Redko
2007-02-05 8:30 ` Serge
2007-02-05 15:17 ` Ilia Menchikh
2007-02-06 8:34 ` Serge
2007-02-06 9:19 ` Dmitriy L. Kruglikov
2007-02-05 8:31 ` Dmytro O. Redchuk
2007-02-05 8:47 ` Sergey
2007-02-05 9:14 ` Dmytro O. Redchuk
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git