From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <rmyroslav@mail.ru>
Message-ID: <41751003.5040704@mail.ru>
Date: Tue, 19 Oct 2004 16:00:51 +0300
From: Myroslav M Rozum <rmyroslav@mail.ru>
User-Agent: Mozilla Thunderbird 0.7.3 (Windows/20040803)
X-Accept-Language: ru-ru, ru
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] =?KOI8-R?Q?=F0=D2=CF=DB=D5_=D0=CF=CD=CF=DE=D8_=D3?=
	=?KOI8-R?Q?_=CE=C1=D3=D4=D2=CF=CA=CB=CF=CA_=C6=C1=CA=C5=D2=D7=CF=CC=CC?=
	=?KOI8-R?Q?=C1?=
References: <200410191434.05095.rassil@elterrus.org>
In-Reply-To: <200410191434.05095.rassil@elterrus.org>
X-Enigmail-Version: 0.85.0.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 19 Oct 2004 13:01:30 -0000
Archived-At: <http://lore.altlinux.org/community/41751003.5040704@mail.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Привет,

сразу оговорюсь - не проверял. Но есть такое ощущение, что это из-за вот 
этих твоих лимитов (--limit 1/s) попробуй разрешить побольше конектов, 
что-то мне кажется, что если ты разрешишь 10 SYN-пакетов в секунду, то 
тебя не зафлудят, но возможно поможет, если мне не изменяет склероз, то 
в подобных системах довольно интенсивно происходят коннекты.

Прошу прощения, возможно склероз меня таки обманывает. каюсь - edonkey и 
подобным не пользуюсь.

Igor Tertishny пишет:

>Здравствуйте все! Я столкнулся с проблемой. У меня небольшая сеть, раздающая 
>клиентам интернет и иные сервисы. Многие качают файлы с помощью edonkey. Но 
>стоящим за сервером (за файерволлом) клиентам сервера edonkey выдают только 
>самый низший приоритет (lowid). Маскарадинг включен и почему так происходит 
>понять не могу. Знаю, что нужно открыть порты по списку. Открывал в 
>файерволле вообще все, не помогает. Клиенты дергают - сделай, другие же 
>делают. А я просто не знаю как, увы мне. Файерволл уже поставил простейший, 
>но снова ничего не дало. Он ниже. Прошу подсказать как открыть порт 4661, 
>например, чтобы сервер edonkey и не догадывался, что ним коннектит не мой 
>сервер, а стоящий за ним клиент. Ведь если я ставлю осла на моем сервере, то 
>все работает как положено. Но не держать же его на сервере? нонсенс ведь.
>
>Ниже мой файерволл. Понимаю, что полный примитив, но даже с ним проблемы. 
>Заранее благодарен за помощь.
>
># Включаем маршрутизацию пакетов.
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
># Interface to Internet
>
>EXTIF=ppp+
>
>ANY=0.0.0.0/0
>
>#iptables -F
>#Очистка таблицы преобразования адресов.
>iptables -t nat -F
>iptables -P INPUT DROP
>iptables -P OUTPUT ACCEPT
>iptables -P FORWARD DROP
>
>iptables -F INPUT
>iptables -F OUTPUT
>iptables -F FORWARD
>
># Syn-flood protection.
># Защита от Syn-flood.
>iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
>iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
>
># Furtive port scanner.
># Защита от скрытого сканирования портов.
>iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s 
>-j ACCEPT
>iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 
>1/s -j ACCEPT
>
># Ping of death.
># Защита от Ping of death.
>iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j 
>ACCEPT
>iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j 
>ACCEPT
>
># Deny NEW end INVALID incoming or required routings packets from ppp0.
># Запрещаем NEW и INVALID входящие или требующие маршрутизации пакеты с ppp0.
>iptables -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
>iptables -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP
>
># Allow a packets which is related to, and part of an existing connection.
># Разрешаем пакеты принадлежащие и относящиеся к уже установленному 
>соединению.
>iptables -N block
>iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A block -m state --state NEW -i ! $EXTIF -j ACCEPT
>iptables -A block -j DROP
>
>iptables -A INPUT -j block
>iptables -A FORWARD -j block
>
># Do masquerading.
># Маскарадим ppp0.
>iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -o ppp0
>
>iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>
>#Разрешаем конектится из локальной сети к любому сервису
>iptables -A INPUT -s 192.168.0.0/24 -i $EXTIF -j ACCEPT
>
>#Разрешаем приходить и форвадится связанным пакетам (которые являются ответами 
>на запросы)
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>iptables -A FORWARD -s 192.168.0.0/24  -j ACCEPT
>_______________________________________________
>Community mailing list
>Community@altlinux.ru
>https://lists.altlinux.ru/mailman/listinfo/community
>
>
>  
>


-- 
Best regards,
Myroslav M Rozum
e-mail: rmyroslav@mail.ru
ICQ UIN: 143704188
JID: mirik@jabber.ru
YahooID: myroslav_rozum