[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[progmo]

ограничить кол-во соединений для умников скажем так пятью и зажать скорость до мизера - либо работать, либо качать.

Не подскажите как это реализовать? Скорость у меня режется только в squidguard'е (веб трафик), а торрентлвский идет помимо сквиды же.

[fisher74]

По лимитам практики нет, потому не советчик.
Кстати,  увидел дырку (ДЫРИЩУ) в Ваших правилах

-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

И поправочка: Выравнивание MTU обычно делается в таблице mangle

[ivsatel]

Не подскажите как это реализовать?

Можно подогнать под себя:

Код: [Выделить]

iptables -A FORWARD -i eth0 -p tcp -s 172.22.4.0/24 -m multiport ! --port 7,53,443,67,68,80,3128,8080 --syn  -m connlimit --connlimit-above 60 -j REJECT --reject-with tcp-reset
iptables -A FORWARD -i eth0 -p udp -s 172.22.4.0/24 -m multiport ! --port 7,53,443,67,68,80,3128,8080 -m connlimit --connlimit-above 60 -j DROP
iptables -A FORWARD -i eth0 -p tcp -s 172.22.4.0/24 -m multiport --port 7,53,443,67,68,80,3128,8080 --syn  -m connlimit --connlimit-above 60 -j REJECT --reject-with tcp-reset
iptables -A FORWARD -i eth0 -p udp -s 172.22.4.0/24 -m multiport --port 7,53,443,67,68,80,3128,8080 -m connlimit --connlimit-above 60 -j DROPМожет улучшите как.

[AnrDaemon]

А как тогда прикрыть торренты?

Уволить обнаглевших сотрудников.

Рецепт отличный, но маловероятный. А если серьезно? Решения нет?!

А если серьёзно, социальные проблемы техническими средствами не решаются. Скорее, такие попытки создают ещё больше социальных проблем.

[progmo]

По лимитам практики нет, потому не советчик.
Кстати,  увидел дырку (ДЫРИЩУ) в Ваших правилах

-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

И поправочка: Выравнивание MTU обычно делается в таблице mangle

Спасибо поправил.... А выравнивание как правильно сделать?

[fisher74]

*mangle
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
*filter
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Пользователь решил продолжить мысль 02 Июля 2012, 12:13:40:а именно так:

Код: [Выделить]

sudo iptables -D FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
sudo iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
 

[progmo]

а именно так:

Спасибо!

[Kornel]

Добрый день.

Вопрос:
Есть ли возможность через IPTables привязать прокси к типу соединения (vnp). Чтобы все пакеты идущие через VPN лезли в проксю, а ethernet шло без прокси?

Проблема:
Есть локальная сеть. Выход в интернет осуществляется через vpn-тунель. Т.е. одновременно работает как локальная сеть (очень большая, со своим DNS-сервером) на ресурсы которой нет доступа из вне, так и интернет через vpn.
Для улучшения качества спутникового интернета на клиентской машине используется сервис globax.
На сервер провайдера доступа нет. Настраивать нужно именно клиентскую машину.
На данный момент руками каждый раз врубается скрипт, который добавляет правила в iptables для редиректа в проксю, когда надо в инэт. И потом, так же руками, вырубается, когда надо опять в сеть. (либо каждый раз меняются настройки прокси в браузере).

[fisher74]

Не увидел связи вопроса с темой топика. Создайте новую тему - обсудим возможность

[Kornel]

Не увидел связи вопроса с темой топика. Создайте новую тему - обсудим возможность

Ну, тема про настройку iptables. Вопрос про настройку iptables.
Все логично.


По требованию трудящихся, вынес в отдельную тему:
Унес вынесение вопроса из отдельной темы, опять в эту, так как после прочтения сообщения AnrDaemon'а пришло какое-то микроозарение.
Попробую реализовать.

[AnrDaemon]

fisher74, вы как-то странно поставили вопрос.
Проблема относится к теме топика напрямую, и решается указанием исходящих интерфейсов, либо отрицанием сетей назначания в правиле редиректа. (Перечисляете домашние сети, и на них весь трафик пойдёт мимо прокси.)

[fisher74]

то есть "в частности iptables_CONNLIMIT" в названии темы просто так накорябано

[Illusion]

Кто поможет настроить iptables по этому https://forum.ubuntu.ru/index.php?topic=20334.msg1050724#msg1050724
При вводе первых команд выдает ошибку.

[AnrDaemon]

Создавайте новую тему, сколько раз повторять.

[anuta_kirova]

При просмотре информации о прохождении пакетов я вижу:

Код: [Выделить]

Chain INPUT (policy ACCEPT 3249K packets, 3841M bytes)
 Pkts     bytes      target       prot  opt in     out     source               destination
 1665K  241M ACCEPT      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0       tcp dpt:3128
   175 30100 ACCEPT      all  --  *      *       172.16.7.0/24        0.0.0.0/0
 33703 3978K ACCEPT      all  --  *      *       192.168.7.99         0.0.0.0/0
 4355K  526M ACCEPT      all  --  *      *       192.168.0.0/16       0.0.0.0/0
     0     0 ACCEPT      all  --  *      *       91.196.164.19        0.0.0.0/0


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source                      destination
    0     0 ACCEPT     all  --  *      *       192.168.7.99               0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       192.168.7.222             0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       172.16.7.0/24              0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0                   172.16.7.0/24

Chain OUTPUT (policy ACCEPT 2843 packets, 296K bytes)
 pkts bytes target     prot opt in     out     source               destination
6558K 4285M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
Не могу понять проходит ли через шлюз локальные и транзитные пакеты?
Возможно какая-то из цепочек работает неправильно? Если да, то что нужно сделать чтобы цепочка заработала?