Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: Критерий -limit модель «дырявое ведро»  (Прочитано 1528 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн aviacliff

  • Автор темы
  • Участник
  • *
  • Сообщений: 100
    • Просмотр профиля
Критерий -limit модель «дырявое ведро»
« : 29 Марта 2013, 09:21:57 »
В файерволе имеется правило:

Код: [Выделить]
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
которое в логах постоянно фиксирует записи следующего содержания

Mar 25 07:44:49  kernel: [ 3398.163533] IPT FORFARD packet died: IN=eth1 OUT=eth0 SRC=192.168.X.Y DST=91.199.212.171 $


Вот что говорится в статье http://ru.wikibooks.org/wiki/Iptables

Цитировать
Критерий -limit использует модель «дырявого ведра», и --limit-burst задает «объем ведра», а --limit — «скорость вытекания». Каждому такому критерию соответствует своя очередь, длина которой задается параметром --limit-burst. Если в очереди есть пакеты, то со скоростью, заданной в --limit, они покидают очередь и считаются удовлетворяющими критерию. Если же вся очередь занята, то новые пакеты в ней не регистрируются и считаются не удовлетворяющими критерию. Например,
iptables -I INPUT -m limit --limit 3/min --limit-burst 5 -j LOG --log-level DEBUG --log-prefix "INPUT packet: "
предполагает очередь на пять пакетов, которая «продвигается» со скоростью 3 пакета в минуту. При непрерывном поступлении входящих пакетов, очередь всегда будет заполнена, и в лог будут заноситься в среднем по три пакета в минуту. Однако, если входящих пакетов долго не будет, то очередь успеет очиститься, и при поступлении пяти и менее новых пакетов, они пойдут в лог подряд. В любом случае, скорость попадания пакетов в лог остается неизменной.


Вопрос:
1. Как правильно выставить критерии --limit 3/min --limit-burst 5.
Имеется какая то формула расчета или все делается путем подбора.
2.Если записи от данного праила фиксируются в логах это хорошо или плохо?
Напоминаю, "UBUNTU" переводится как "ЧЕЛОВЕЧНОСТЬ"

Оффлайн aviacliff

  • Автор темы
  • Участник
  • *
  • Сообщений: 100
    • Просмотр профиля
Re: Критерий -limit модель «дырявое ведро»
« Ответ #1 : 01 Апреля 2013, 20:05:21 »
После добавления правила:

Код: [Выделить]
iptables -A FORWARD -p tcp -s 192.168.X.Y -d 91.199.212.171 -j REJECT \
        --reject-with tcp-reset
картина стала ясной.

Значения, которые указаны в правиле --limit 3/minute --limit-burst 3, вероятно, оптимальные. Oskar Andreasson непроверенные данные писать не будет.

Относительно плохого. Если такая запись присутствует значит что-то не так или снаружи или внутри хоста.
Относительно хорошего. Имеется такая запись и она в себе несет информацию, можно определиться с направлением поиска.
Всем доброго здоровья!
Напоминаю, "UBUNTU" переводится как "ЧЕЛОВЕЧНОСТЬ"
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.049 секунд. Запросов: 25.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.