forum.opennet.ru - "iptables - ограничение вход. трафика по портам для определен..." (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"iptables - ограничение вход. трафика по портам для определен..."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"iptables - ограничение вход. трафика по портам для определен..."
Сообщение от _Ale_ (??) on 27-Сен-04, 14:13 (MSK)
Есть: Linux -ядро 2.4.x, кот. служит шлюзом в инет. eth0 - внешний (интернет), eth1 - внутренний (локалка) Требуется ограничить полосу пропускания для входящего трафика по портам. Например, для smtp - полосу в 128к, для ftp - 28к - и то не всем, а только 10.10.0.5. Есть работающий пример, который позволяет ограничивать вход. трафик для определенного IP при помощи iptables + cbq. iptables -t mangle -A POSTROUTING -s 10.10.0.5 -j MARK --set-mark 6 для cbq: DEVICE=eth1,10Mbit,1Mbit RATE=28Kbit WEIGHT=3Kbit PRIO=5 MARK=6 При этом для 10.10.0.5 ограничивается весь трафик, но нужно чтоб ограничивался трафик по портам. Много чего было перепробовано, но результата не дало - трафик либо вообще не ограничивался, либо ограничивался весь. Если есть подобный опыт, пжлст поделитесь.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

iptables - ограничение вход. трафика по портам для определен..., Beginner, 17:11 , 27-Сен-04, (1)
- iptables - ограничение вход. трафика по портам для определен..., _Ale_, 17:19 , 27-Сен-04, (2)
  - iptables - ограничение вход. трафика по портам для определен..., Beginner, 17:32 , 27-Сен-04, (3)
    - iptables - ограничение вход. трафика по портам для определен..., _Ale_, 18:08 , 27-Сен-04, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "iptables - ограничение вход. трафика по портам для определен..."

Сообщение от Beginner (??) on 27-Сен-04, 17:11  (MSK)

>Есть: Linux -ядро 2.4.x, кот. служит шлюзом в инет.
>eth0 - внешний (интернет), eth1 - внутренний (локалка)
>Требуется ограничить полосу пропускания для входящего трафика по портам.
>Например, для smtp - полосу в 128к, для ftp - 28к -
>и то не всем, а только 10.10.0.5.
>Есть работающий пример, который позволяет ограничивать вход. трафик для определенного IP при
>помощи iptables + cbq.
>iptables -t mangle -A POSTROUTING -s 10.10.0.5 -j MARK --set-mark 6
>для cbq:
>DEVICE=eth1,10Mbit,1Mbit
>RATE=28Kbit
>WEIGHT=3Kbit
>PRIO=5
>MARK=6
>При этом для 10.10.0.5 ограничивается весь трафик, но нужно чтоб ограничивался трафик
>по портам. Много чего было перепробовано, но результата не дало -
>трафик либо вообще не ограничивался, либо ограничивался весь.
>Если есть подобный опыт, пжлст поделитесь.

Просто перепиши правило маркировки пакетов так, чтобы оно маркировало по портам, а не по адресам.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "iptables - ограничение вход. трафика по портам для определен..."

Сообщение от _Ale_ (??) on 27-Сен-04, 17:19  (MSK)

>Просто перепиши правило маркировки пакетов так, чтобы оно маркировало по портам, а
>не по адресам.
то есть так?
iptables -t mangle -A POSTROUTING -p tcp --dport 20:21 -j MARK --set-mark 6
не работает :-(

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "iptables - ограничение вход. трафика по портам для определен..."

Сообщение от Beginner (??) on 27-Сен-04, 17:32  (MSK)

>>Просто перепиши правило маркировки пакетов так, чтобы оно маркировало по портам, а
>>не по адресам.
>то есть так?
>iptables -t mangle -A POSTROUTING -p tcp --dport 20:21 -j MARK --set-mark
>6
>не работает :-(
То есть, не работает?
Что не работает? Не маркируется или не ограничивается? Как ты задал должен ограничиваться запросный канал. Если тебе ответный, то
-p tcp --sport 20:21

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "iptables - ограничение вход. трафика по портам для определен..."

Сообщение от _Ale_ (??) on 27-Сен-04, 18:08  (MSK)

>То есть, не работает?
>Что не работает? Не маркируется или не ограничивается? Как ты задал должен
>ограничиваться запросный канал. Если тебе ответный, то
>-p tcp --sport 20:21
Да совершенно согласен. Так будет работать:
iptables -t mangle -A POSTROUTING -p tcp --sport 80 -j MARK --set-mark
Будет работать резалка трафика по всем портам, кроме FTP - вот в чем затык.
Я тут вспомнил, что ftp работает в двух режимах - активный и пассивный. У меня клиенты работают в пассивном режиме - отсюда весь геммор! Для пассивного режима это правило не сработает - надо ставить порты > 1024.
Но все равно спасибо - за подсказку.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables - ограничение вход. трафика по портам для определен..."
Сообщение от Beginner (??) on 27-Сен-04, 17:11 (MSK)
>Есть: Linux -ядро 2.4.x, кот. служит шлюзом в инет. >eth0 - внешний (интернет), eth1 - внутренний (локалка) >Требуется ограничить полосу пропускания для входящего трафика по портам. >Например, для smtp - полосу в 128к, для ftp - 28к - >и то не всем, а только 10.10.0.5. >Есть работающий пример, который позволяет ограничивать вход. трафик для определенного IP при >помощи iptables + cbq. >iptables -t mangle -A POSTROUTING -s 10.10.0.5 -j MARK --set-mark 6 >для cbq: >DEVICE=eth1,10Mbit,1Mbit >RATE=28Kbit >WEIGHT=3Kbit >PRIO=5 >MARK=6 >При этом для 10.10.0.5 ограничивается весь трафик, но нужно чтоб ограничивался трафик >по портам. Много чего было перепробовано, но результата не дало - >трафик либо вообще не ограничивался, либо ограничивался весь. >Если есть подобный опыт, пжлст поделитесь. Просто перепиши правило маркировки пакетов так, чтобы оно маркировало по портам, а не по адресам.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "iptables - ограничение вход. трафика по портам для определен..."
	Сообщение от _Ale_ (??) on 27-Сен-04, 17:19 (MSK)
	>Просто перепиши правило маркировки пакетов так, чтобы оно маркировало по портам, а >не по адресам. то есть так? iptables -t mangle -A POSTROUTING -p tcp --dport 20:21 -j MARK --set-mark 6 не работает :-(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "iptables - ограничение вход. трафика по портам для определен..."
	Сообщение от Beginner (??) on 27-Сен-04, 17:32 (MSK)
	>>Просто перепиши правило маркировки пакетов так, чтобы оно маркировало по портам, а >>не по адресам. >то есть так? >iptables -t mangle -A POSTROUTING -p tcp --dport 20:21 -j MARK --set-mark >6 >не работает :-( То есть, не работает? Что не работает? Не маркируется или не ограничивается? Как ты задал должен ограничиваться запросный канал. Если тебе ответный, то -p tcp --sport 20:21
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "iptables - ограничение вход. трафика по портам для определен..."
	Сообщение от _Ale_ (??) on 27-Сен-04, 18:08 (MSK)
	>То есть, не работает? >Что не работает? Не маркируется или не ограничивается? Как ты задал должен >ограничиваться запросный канал. Если тебе ответный, то >-p tcp --sport 20:21 Да совершенно согласен. Так будет работать: iptables -t mangle -A POSTROUTING -p tcp --sport 80 -j MARK --set-mark Будет работать резалка трафика по всем портам, кроме FTP - вот в чем затык. Я тут вспомнил, что ftp работает в двух режимах - активный и пассивный. У меня клиенты работают в пассивном режиме - отсюда весь геммор! Для пассивного режима это правило не сработает - надо ставить порты > 1024. Но все равно спасибо - за подсказку.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх