* [Sysadmins] Ограничить количество tcp соединений для каждого IP
@ 2007-02-05 6:27 Pavel Shurubura
2007-02-05 7:02 ` Gennadiy Redko
0 siblings, 1 reply; 9+ messages in thread
From: Pavel Shurubura @ 2007-02-05 6:27 UTC (permalink / raw)
To: sysadmins
Здравствуйте !
CтОит Linux-сервер как маршрутизатор для
лок.сети. Подскажите, как можно ограничить количество
tcp соединений от каждого ip-шника в локалке.
Спасибо.
--
Администратор узла
ООО "ИТЦ XXI-век"
Шурубура П.Н.
^ permalink raw reply [flat|nested] 9+ messages in thread* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP 2007-02-05 6:27 [Sysadmins] Ограничить количество tcp соединений для каждого IP Pavel Shurubura @ 2007-02-05 7:02 ` Gennadiy Redko 2007-02-05 8:30 ` Serge 2007-02-05 8:31 ` Dmytro O. Redchuk 0 siblings, 2 replies; 9+ messages in thread From: Gennadiy Redko @ 2007-02-05 7:02 UTC (permalink / raw) To: ALT Linux sysadmin discuss Pavel Shurubura пишет: > Здравствуйте ! > > CтОит Linux-сервер как маршрутизатор для > лок.сети. Подскажите, как можно ограничить количество > tcp соединений от каждого ip-шника в локалке. Имеются ввиду сессии? Дело в том, что маршрутизатор не умеет разделять сессии. Он работает с tcp/udp пакетами. Для ограничения количества сессий нужно поднять на сервере какой-нибудь промежуточный сервер. Например squid для ftp/http-трафика. > > Спасибо. > ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP 2007-02-05 7:02 ` Gennadiy Redko @ 2007-02-05 8:30 ` Serge 2007-02-05 15:17 ` Ilia Menchikh 2007-02-05 8:31 ` Dmytro O. Redchuk 1 sibling, 1 reply; 9+ messages in thread From: Serge @ 2007-02-05 8:30 UTC (permalink / raw) To: ALT Linux sysadmin discuss > Имеются ввиду сессии? > Дело в том, что маршрутизатор не умеет разделять сессии. > Он работает с tcp/udp пакетами. > Для ограничения количества сессий нужно поднять на сервере > какой-нибудь промежуточный сервер. > Например squid для ftp/http-трафика. на предмет чего смотреть в squid для реализации "ограничения количества сессий" ? ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP 2007-02-05 8:30 ` Serge @ 2007-02-05 15:17 ` Ilia Menchikh 2007-02-06 8:34 ` Serge 0 siblings, 1 reply; 9+ messages in thread From: Ilia Menchikh @ 2007-02-05 15:17 UTC (permalink / raw) To: ALT Linux sysadmin discuss В Пнд, 05/02/2007 в 10:30 +0200, Serge пишет: > > Имеются ввиду сессии? > > Дело в том, что маршрутизатор не умеет разделять сессии. > > Он работает с tcp/udp пакетами. > > Для ограничения количества сессий нужно поднять на сервере > > какой-нибудь промежуточный сервер. > > Например squid для ftp/http-трафика. > на предмет чего смотреть в squid для реализации "ограничения количества > сессий" ? # acl aclname maxconn number # # This will be matched when the client's IP address has # # more than <number> HTTP connections established. -- С Уважением Илья Меньших ЗАО Издательский дом "Комсомольская Правда" mailto: <iluxa@kp.ru> icq: 175037115 ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP 2007-02-05 15:17 ` Ilia Menchikh @ 2007-02-06 8:34 ` Serge 2007-02-06 9:19 ` Dmitriy L. Kruglikov 0 siblings, 1 reply; 9+ messages in thread From: Serge @ 2007-02-06 8:34 UTC (permalink / raw) To: iluxa, ALT Linux sysadmin discuss В сообщении от 5 февраля 2007 17:17 Ilia Menchikh написал(a): > В Пнд, 05/02/2007 в 10:30 +0200, Serge пишет: > > > Имеются ввиду сессии? > > > Дело в том, что маршрутизатор не умеет разделять сессии. > > > Он работает с tcp/udp пакетами. > > > Для ограничения количества сессий нужно поднять на сервере > > > какой-нибудь промежуточный сервер. > > > Например squid для ftp/http-трафика. > > > > на предмет чего смотреть в squid для реализации "ограничения количества > > сессий" ? > > # acl aclname maxconn number > # # This will be matched when the client's IP address has > # # more than <number> HTTP connections established. ок, а если мне нужно для всех хостов некоего диапозона разрешить только 1 коннект - нужно будет в acl указывать каждый ip из диапозона? ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP 2007-02-06 8:34 ` Serge @ 2007-02-06 9:19 ` Dmitriy L. Kruglikov 0 siblings, 0 replies; 9+ messages in thread From: Dmitriy L. Kruglikov @ 2007-02-06 9:19 UTC (permalink / raw) To: ALT Linux sysadmin discuss На календаре было: Вторник, 06 Февраль 2007 года, Serge писал(а) в сообщении: S == Serge S> ок, а если мне нужно для всех хостов некоего диапозона разрешить только 1 S> коннект - нужно будет в acl указывать каждый ip из диапозона? Нет .... Нужно будет написать acl на диапазон ... Например # acl aclname src addr1-addr2/netmask ... (range of addresses) И будет полезно просто _внимательно_ почитать комментарии в /etc/squid/squid.conf ... Если вы его не угрохали каким-нибудь webmin, который эти комментарии вырезает ... В крайнем случае, можно вытянуть конфиг из rpm ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Мир подобен постоялому двору: один приходит, другой уходит. -- Армянская мудрость ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP 2007-02-05 7:02 ` Gennadiy Redko 2007-02-05 8:30 ` Serge @ 2007-02-05 8:31 ` Dmytro O. Redchuk 2007-02-05 8:47 ` Sergey 1 sibling, 1 reply; 9+ messages in thread From: Dmytro O. Redchuk @ 2007-02-05 8:31 UTC (permalink / raw) To: sysadmins On Mon, Feb 05, 2007 at 09:02:36AM +0200, Gennadiy Redko wrote: > Pavel Shurubura пишет: > > Здравствуйте ! > > > > CтОит Linux-сервер как маршрутизатор для > > лок.сети. Подскажите, как можно ограничить количество > > tcp соединений от каждого ip-шника в локалке. > Имеются ввиду сессии? Как я себе представляю, можно использовать ipset + limit/iptables (или connlimit). btw, не пробовал Ж-) Но. ipset и connlimit в альт не впакованы (М24, по кр.мере). Да и лимиты весьма условные -- хорошо работают только для относительно малых величин. > Дело в том, что маршрутизатор не умеет разделять сессии. > Он работает с tcp/udp пакетами. > Для ограничения количества сессий нужно поднять на сервере > какой-нибудь промежуточный сервер. > Например squid для ftp/http-трафика. Или так. > > > > > Спасибо. -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP 2007-02-05 8:31 ` Dmytro O. Redchuk @ 2007-02-05 8:47 ` Sergey 2007-02-05 9:14 ` Dmytro O. Redchuk 0 siblings, 1 reply; 9+ messages in thread From: Sergey @ 2007-02-05 8:47 UTC (permalink / raw) To: sysadmins On Monday 05 February 2007 12:31, Dmytro O. Redchuk wrote: > Но. ipset и connlimit в альт не впакованы (М24, по кр.мере). > > Да и лимиты весьма условные -- хорошо работают только для относительно > малых величин. О. А я вот, как раз, сижу и думаю на эту тему (connlimit). В смысле сделать kernel-feat для текущего ядра или как. Что значит "для относительно малых величин" ? Это в смысле количество допустимых коннектов, или количество одновременно долбящихся IP ? -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Ограничить количество tcp соединений для каждого IP 2007-02-05 8:47 ` Sergey @ 2007-02-05 9:14 ` Dmytro O. Redchuk 0 siblings, 0 replies; 9+ messages in thread From: Dmytro O. Redchuk @ 2007-02-05 9:14 UTC (permalink / raw) To: Sergey; +Cc: sysadmins On Mon, Feb 05, 2007 at 12:47:06PM +0400, Sergey wrote: > On Monday 05 February 2007 12:31, Dmytro O. Redchuk wrote: > > > Но. ipset и connlimit в альт не впакованы (М24, по кр.мере). > > > > Да и лимиты весьма условные -- хорошо работают только для относительно > > малых величин. > > О. А я вот, как раз, сижу и думаю на эту тему (connlimit). В смысле сделать > kernel-feat для текущего ядра или как. Что значит "для относительно малых > величин" ? Это в смысле количество допустимых коннектов, или количество > одновременно долбящихся IP ? Для значения лимита :-) Максимум, кажется, 10000, а при каких значениях работает относительно аккуратно -- не скажу, не помню и не знаю. Такое впечатление, что уже при тысячах работает выразительно неаккуратно. ((Тестировал на гигабитных интелах, при где-то 800kpps, кажется; строил цепочки из таких лимитов и смотрел результаты.)) Возможно, для ваших задач подойдёт. Да, кстати, -- это касается, вроде бы, только limit (а не столько connlimit). Точнее, насколько это касается connlimit -- не скажу. О, и ещё: не ручаюсь за точность результатов :-) Если кто-то вразумит меня, буду благодарен. > > -- > С уважением, Сергей > a_s_y@sama.ru -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2007-02-06 9:19 UTC | newest] Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2007-02-05 6:27 [Sysadmins] Ограничить количество tcp соединений для каждого IP Pavel Shurubura 2007-02-05 7:02 ` Gennadiy Redko 2007-02-05 8:30 ` Serge 2007-02-05 15:17 ` Ilia Menchikh 2007-02-06 8:34 ` Serge 2007-02-06 9:19 ` Dmitriy L. Kruglikov 2007-02-05 8:31 ` Dmytro O. Redchuk 2007-02-05 8:47 ` Sergey 2007-02-05 9:14 ` Dmytro O. Redchuk
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git