Здраствуйте, как с помощью iptables ограничить число одновременных подключений клиента к интернету
>Здраствуйте, как с помощью iptables ограничить число одновременных подключений клиента к интернету
>
connlimit
>>Здраствуйте, как с помощью iptables ограничить число одновременных подключений клиента к интернету
>>
>
>
>connlimit
а мож по подробнее а то у меня...я ему: iptables -I INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT
а он мне: iptables: Unknown error 4294967295
Ядро 2.6.17-4
iptables 1.3.5
>>>Здраствуйте, как с помощью iptables ограничить число одновременных подключений клиента к интернету
>>>
>>
>>
>>connlimit
>
>
>а мож по подробнее а то у меня...
>
>я ему: iptables -I INPUT -p tcp --syn --dport 23 -m connlimit
>--connlimit-above 2 -j REJECT
>
>а он мне: iptables: Unknown error 4294967295
>
>Ядро 2.6.17-4
>iptables 1.3.5
Теперь поставил 1.3.0
пишет: iptables: No chain/target/match by that name
>>>>Здраствуйте, как с помощью iptables ограничить число одновременных подключений клиента к интернету
>>>>
>>>
>>>
>>>connlimit
>>
>>
>>а мож по подробнее а то у меня...
>>
>>я ему: iptables -I INPUT -p tcp --syn --dport 23 -m connlimit
>>--connlimit-above 2 -j REJECT
>>
>>а он мне: iptables: Unknown error 4294967295
>>
>>Ядро 2.6.17-4
>>iptables 1.3.5
>
>
>Теперь поставил 1.3.0
>пишет: iptables: No chain/target/match by that nameУ меня были подобные ошибки, поставил iptables 1.3.5 (ядро у меня 2.4.31). Установил patch-o-matic, пересобрал ядро и сейчас все ок.
>>>>>Здраствуйте, как с помощью iptables ограничить число одновременных подключений клиента к интернету
>>>>>
>>>>
>>>>
>>>>connlimit
>>>
>>>
>>>а мож по подробнее а то у меня...
>>>
>>>я ему: iptables -I INPUT -p tcp --syn --dport 23 -m connlimit
>>>--connlimit-above 2 -j REJECT
>>>
>>>а он мне: iptables: Unknown error 4294967295
>>>
>>>Ядро 2.6.17-4
>>>iptables 1.3.5
>>
>>
>>Теперь поставил 1.3.0
>>пишет: iptables: No chain/target/match by that name
>
>У меня были подобные ошибки, поставил iptables 1.3.5 (ядро у меня 2.4.31).
>Установил patch-o-matic, пересобрал ядро и сейчас все ок.Установил patch-o-matic, пересобрал ядро поставил iptables 1.3.4
пишет: iptables: No chain/target/match by that name
>>>>>>Здраствуйте, как с помощью iptables ограничить число одновременных подключений клиента к интернету
>>>>>>
>>>>>
>>>>>
>>>>>connlimit
>>>>
>>>>
>>>>а мож по подробнее а то у меня...
>>>>
>>>>я ему: iptables -I INPUT -p tcp --syn --dport 23 -m connlimit
>>>>--connlimit-above 2 -j REJECT
>>>>
>>>>а он мне: iptables: Unknown error 4294967295
>>>>
>>>>Ядро 2.6.17-4
>>>>iptables 1.3.5
>>>
>>>
>>>Теперь поставил 1.3.0
>>>пишет: iptables: No chain/target/match by that name
>>
>>У меня были подобные ошибки, поставил iptables 1.3.5 (ядро у меня 2.4.31).
>>Установил patch-o-matic, пересобрал ядро и сейчас все ок.
>
>Установил patch-o-matic, пересобрал ядро поставил iptables 1.3.4
>пишет: iptables: No chain/target/match by that name
А когда ядро пересобирал выставил в make menuconfig нужные параметры?
>>>>>>>Здраствуйте, как с помощью iptables ограничить число одновременных подключений клиента к интернету
>>>>>>>
>>>>>>
>>>>>>
>>>>>>connlimit
>>>>>
>>>>>
>>>>>а мож по подробнее а то у меня...
>>>>>
>>>>>я ему: iptables -I INPUT -p tcp --syn --dport 23 -m connlimit
>>>>>--connlimit-above 2 -j REJECT
>>>>>
>>>>>а он мне: iptables: Unknown error 4294967295
>>>>>
>>>>>Ядро 2.6.17-4
>>>>>iptables 1.3.5
>>>>
>>>>
>>>>Теперь поставил 1.3.0
>>>>пишет: iptables: No chain/target/match by that name
>>>
>>>У меня были подобные ошибки, поставил iptables 1.3.5 (ядро у меня 2.4.31).
>>>Установил patch-o-matic, пересобрал ядро и сейчас все ок.
>>
>>Установил patch-o-matic, пересобрал ядро поставил iptables 1.3.4
>>пишет: iptables: No chain/target/match by that name
>
>
>А когда ядро пересобирал выставил в make menuconfig нужные параметры?конечно...
или может что-то не то выставил??? подскажи...
>>>>>>я ему: iptables -I INPUT -p tcp --syn --dport 23 -m connlimit
>>>>>>--connlimit-above 2 -j REJECT
>>>>>>
>>>>>>а он мне: iptables: Unknown error 4294967295
>>>>>>
>>>>>>Ядро 2.6.17-4
>>>>>>iptables 1.3.5
>>>>>
>>>>>
>>>>>Теперь поставил 1.3.0
>>>>>пишет: iptables: No chain/target/match by that name
>>>>
[...]
>>А когда ядро пересобирал выставил в make menuconfig нужные параметры?
>
>конечно...
>
>или может что-то не то выставил??? подскажи...
ну что за люди... чуть что, ядро пересобирать... с замашками от 2.2/iptables лучше поборитесь - REJECT это не встроенная цель, а модуль. и что-то я не помню, чтобы для чего-либо кроме протокола там autoload работал (а в мануалах быстро не нашел, долго копаться влом).
попробуйте добавить еще -m REJECT или заменить на DROP - последнее прокатит наверняка.\^P^/
>лучше поборитесь - REJECT это не встроенная цель, а модуль.REJECT - это действие, и пишется -j REJECT.
Мануал пишет iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT
Ты где нить видишь INPUT или OUTPUT?This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).
>
>>лучше поборитесь - REJECT это не встроенная цель, а модуль.
>
>REJECT - это действие, и пишется -j REJECT.
>
>Мануал пишет iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2
>-j REJECT
>Ты где нить видишь INPUT или OUTPUT?
это ты о чем вообще?
>
-----
TARGETS
A firewall rule specifies criteria for a packet, and a target. If the
packet does not match, the next rule in the chain is the examined; if
it does match, then the next rule is specified by the value of the target,
which can be the name of a user-defined chain or one of the special
values ACCEPT, DROP, QUEUE, or RETURN.
-----ну и где тут реджект?
ниже:
-----
TARGET EXTENSIONS
iptables can use extended target modules: the following are included in
the standard distribution.
[...]
REJECT
This is used to send back an error packet in response to the matched
packet: otherwise it is equivalent to DROP so it is a terminating TARGET,
ending rule traversal...
-----
теперь понятно, о чем я?не указав -p tcp, ты не можешь написать --dport
почему так? потому, что -p tcp имплиед -m tcp. тоже для любого другого -p.
но, насколько мне известно, это единственная разновидность автолоада в iptables. если ты хочешь REJECT target, то писать надо -m REJECT -j REJECT\^P^/
Не собираюсь спорить по поводу того, что -m REJECT или -j REJECT. Есть явные модули и подгружаемые - подгружаемые используют опцию -m. Просто когда хочешь использовать подгружаемый модуль, не указав при этом -m, то будет другая ошибка. Вопрошающему я привёл выдержку из описания модуля connlimit из patch-o-matic-ng.
>Не собираюсь спорить по поводу того, что -m REJECT или -j REJECT.
>Есть явные модули и подгружаемые - подгружаемые используют опцию -m. Просто
>когда хочешь использовать подгружаемый модуль, не указав при этом -m, то
>будет другая ошибка. Вопрошающему я привёл выдержку из описания модуля connlimit
>из patch-o-matic-ng.
iptables: No chain/target/match by that name
Спасибо, из ваших споров я все так понял, что придется искать помоши в другом месте
И помощь тебе manual по patctch-o-matic - там по этому модулю всё написано. Что не ясно из споров. Скажи конкретно.
iptables: No chain/target/match by that name - такое сообщение вылетает, когда у тебя уже правило существет, это нормально, просто ты правило где-то продублировал. При такой ошибке iptables нормально прописывает правила. Исчи, где задвоил, или можешь плюнуть, так как суть не изменяется.
>И помощь тебе manual по patctch-o-matic - там по этому модулю всё
>написано. Что не ясно из споров. Скажи конкретно.
>iptables: No chain/target/match by that name - такое сообщение вылетает, когда у
>тебя уже правило существет, это нормально, просто ты правило где-то продублировал.
>При такой ошибке iptables нормально прописывает правила. Исчи, где задвоил, или
>можешь плюнуть, так как суть не изменяется.Т.е. продублировал? не вводил до етого...
>>я ему: iptables -I INPUT ...
iptables -A INPUT?
>Не собираюсь спорить по поводу того, что -m REJECT или -j REJECT.
>Есть явные модули и подгружаемые - подгружаемые используют опцию -m. Просто
>когда хочешь использовать подгружаемый модуль, не указав при этом -m, то
>будет другая ошибка. Вопрошающему я привёл выдержку из описания модуля connlimit
>из patch-o-matic-ng.когда пытаешься использовать подгружаемый не загрузив его, ошибка зависит от того, что именно ты недогрузил (matching rule, mangle rule, target, ...)
стсно для REJECT это как раз "No chain/*жирным*target*жирным*/match by that name" - REJECT это target.
изначально вопрошавшему: а что помешало дописать в ту же команду -m REJECT перед -j REJECT и еще раз попробовать? (или заменить REJECT на DROP и еще раз попробовать?)
изначально я отвечал в виде именно такой "рекомендации к действию"
странная реакция, аднака\^P^/
>>Не собираюсь спорить по поводу того, что -m REJECT или -j REJECT.
>>Есть явные модули и подгружаемые - подгружаемые используют опцию -m. Просто
>>когда хочешь использовать подгружаемый модуль, не указав при этом -m, то
>>будет другая ошибка. Вопрошающему я привёл выдержку из описания модуля connlimit
>>из patch-o-matic-ng.
>
>когда пытаешься использовать подгружаемый не загрузив его, ошибка зависит от того, что
>именно ты недогрузил (matching rule, mangle rule, target, ...)
>стсно для REJECT это как раз "No chain/*жирным*target*жирным*/match by that name" -
>REJECT это target.
>изначально вопрошавшему: а что помешало дописать в ту же команду -m REJECT
>перед -j REJECT и еще раз попробовать? (или заменить REJECT на
>DROP и еще раз попробовать?)
>изначально я отвечал в виде именно такой "рекомендации к действию"
>странная реакция, аднака
>
>\^P^/
По твоим рекомендациям вошше жутко ругатся начинает
>а он мне: iptables: Unknown error 4294967295>Ядро 2.6.17-4
>iptables 1.3.5С ядром 2.6.17.х у connlimit проблемы, как и с 2.6.16.х. Видел где-то патч для 6.17, но он мне не помог. Для 6.16 патч помогает, как говорят люди, я не пробовал.
>>а он мне: iptables: Unknown error 4294967295
>
>>Ядро 2.6.17-4
>>iptables 1.3.5
>
>С ядром 2.6.17.х у connlimit проблемы, как и с 2.6.16.х. Видел где-то
>патч для 6.17, но он мне не помог. Для 6.16 патч
>помогает, как говорят люди, я не пробовал.
а с ядром 2.6.15 ?