Как можно разделять пакети по TOS в Линуксе?

[Как можно разделять пакети по TOS в Линуксе?]

в ipfilter - да

[Защитить NATD от DDOS]

ipnat не дотягивает до natd по возможностям.

 

PPPoE решает много проблем.

Эту в том числе.

 

интересно как

 

А почему никто про PortSentry не вспомнил?

Когда у нас пинг в сетке стал подниматься до 2000 мс,

пытались с правилами мудрить + уговаривать юзеров антивирусом

провериться.

Теперь PortSentry просто отрубает хост и все.

без комментариев, man portsentry

 

По данному вопросу нарыл, что дейсвительно средствами ipnat возможно ограничить количество соединений открываемых юзером например так

map fxp0 192.168.1.149/32 -> 200.200.200.1/32 portmap tcp/udp 20000:20099

не совсем удобно но всеже

+ ipnat вбезусловно более быстрый и гибкий

[Защитить NATD от DDOS]

Sultan, любые динамические правила тут увы не подходят.

 

syn-flood - и конец (см. выше)

[Защитить NATD от DDOS]

некоторые операторы, особенно на анлиме,

ограничивают количество открытых соединений.

 

Вопрос - как ?

[Конвекторы от D-Link на 1 Gb]

сало как сало

[Защитить NATD от DDOS]

Sultan, хорошая идея.

Надо подумать.

Их можно просто резать.

[Защитить NATD от DDOS]

Инстукция по ipfilter (ipf, ipnat),

там к сожалению нет нислова от том как

Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)?

 

так же как и в man-ах

[использование внутреннего интерфейса на роутере]

ты напиши какой именно софт

[Защитить NATD от DDOS]

Можно, но придется поднимать и ipfilter, т.е. пакет пройдет через оба фильтра.

?

ОК, подняли ipfilter. Работает ipf, можно даже отключить ipfw. Как сделать subj?

[Защитить NATD от DDOS]

Уважаемый jab,

"Во-первых, перейти с natd на ipnat, а во-вторых запретить tcp/udp порты 135,137,138,139,445"

 

2. ок

1. сейчас читаю маны к ipnat

конечно он быстее будет работать, но как решить ДАННУЮ проблему - пока не вижу. (Может поделишься кусочком ipnat.rules с парой ремарок...)

+ можно ли использовать ipfw+ipnat ?

[Проблемы pcmcia Freebsd]

cat /etc/rc.conf

ifconfig

ipfw -a l

dmesg

 

в студию

 

какой драйвер использает твоя карточка (т.е. каким именем определяется в системе)?

[Защитить NATD от DDOS]

Как защитить NATD от ДДОС атаки из внутренней сети.

Во внутренней сети - более 500 ПК, все они ходят через нат (наружу имеею сеточку /26).

При заражении нескольких ПК вирями - от них идет громадное количество пакетов по разным портам и адресам, забивая сокеты NATD, при этом интернет с других ПК тоже начинает "тормозить"!

Мысли (воспользоваться правилом limit) такие:

ipfw add allow ip from any to any via lo0

ipfw add deny ip from any to any 135, 139, 445 и проч "плохие" порты

# каждого юзера юзеров добавляем правилом

ipfw add 3000 skipto 50000 ip from 192.168.10.xxx to any limit dst-addr 1000 in via ifIN

ipfw add 3000 skipto 50000 ip from any to myOUTnet/26 in via ifOUT

ipfw add 49999 deny ip from any to any

ipfw add 50000 divert natd all from any to any

ipfw add 50001 allow from any to any

 

НЕ ПОДХОДИТ

если выставлять dst-addr 1000 каджому юзеру - создается ограмное количество димамических правил (особенно при флуде), количество динамических правил исчерпывается (да, его можно поднять sysclt переменной - но все равно - значение не резиновое) и ipfw выдает too many dymanic rules, sorry. При этом другие юзеры которым также добавлено limit dst-addr 1000 уже не попадают в divert.

 

Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)?

[МТУ-Интел: новый этап интернет-революции]

Не понимаю нападок на МТУ (со стороны AlexPan в частности). У меня много знакомых товарищей которые выбрали Стрим, из-за убогой ДС, работающей в их районе. Нарекатий никаких! не смотря на то что они точно могут отделить мух от котлет.

--------

...гб на оптовом рынке стоит около $2.

----------

А что вы вкладываете в понятие "оптовая"

Если 7-8 терабайт - то может быть. Терабайт вам за такую цену не отдадут (расматрая точку удаленную от девятки), а заплатите за транспорт - получите - теже 3,5-5 бака - гиг.

ДС - качающих - 8 гиг я не знаю. Увы.

[Бухгалтерия оператора связи]

Да, ошибся, конечно три десятых.

Я это вообще к

 

полномочий по проверке бухгалтерской отчетности оператора

ибо как по другому проверить уплату этих трех десятых? :))

[Бухгалтерия оператора связи]

Антон,

а нам помнится в минсвязи давненько говорили (когда мы получили лицензии), что как появяться у вас доходы, вот вам реквезиты - и туда перечисляйте 3% от доходов.

У тогда помню у многих опрераторов спрашивал про эти 3 процента. Все махали рукой.

Как сейчас положение дел (с "налогом")?

[Point To Point в Wireless сетях 802.11g]

Но все будет как и у любого другого OFDM ....  

т.е. ты хочешь сказать - все карты атэросе (802.11g) работают одинаково?

Хочу услышать авторитетный совет - может какие карты будут получше (802.11g). Расстояния небольшие - до 3-4 км.

["Долглвечность" воздушек на дешевом оптоволокне ?]

Цена кабеля не так сильно разнится. За все хорошее нужно платить. Стоить сети на дерьме - не советую. Если денег нет то лучше вообще не строить. ИМХО.

Ну сам подумай - сэкономишь ты пару сотен баков на кабеле. А он через год придет в негодность...

[Point To Point в Wireless сетях 802.11g]

2admin_wireless, MaXToP,

дело в том что для 802.11b(например) - есть отработанные операторские решения, та же оринока (авая) или циска аиронэт.

Для 802.11g - карт тоже много и хочеться выбрать что-нибудь стоящее и понадежнее. (интересует работа под фрей)

[Стоимость гига]

м-де

Вот и институры потянулись до девятки. Вот типичный пример "российского it бизнеса". Мы не используем существующие емкости, а прокладываем новые кабели.

Уважаемый Гость. Обратитесь к нескольким крупным оператора связи, с запросом коммерческого предложения. Вам не нужно ничего тянуть, арендовать, согласовывать и проч.

300 гиг - вам продадут очень дещево (намного дешевле 135 у.е. за гиг)

[Point To Point в Wireless сетях 802.11g]

Senao NL-3054 Atheros 5212 - вообще нормально работает ?

Я вот думаю на каких картах остаеновиться ??

Дешевый Senao - брать стремно, но он работает!

Кстате - та же Orinoco 8470WD - на расстоянии больше 300 м - говорят не пашет.

Может, кто нибудь пробовал ставить карты других производителей ? Хочеться услышать ваше мнение.

[Point To Point в Wireless сетях 802.11g]

2 MAXTOR -

1. а какие карты вы использовали (производитель и модель),

2. какие расстояния

3. какую максимальную скорость Вам удавалось получить

 

P.S. ИНТЕРЕСУЕТ ИМЕННО 802.11g (2.4 Ггц) на фре 5.2 с драйвером ath)

спасибо

[VLAN Switch...выбор]

"ЛЮБАЯ фильтрация по IP уже Layer 3."

 

Почему то производители думаю по другому.

Хотя Вам конечно же виднее :))

[VLAN Switch...выбор]

"IP - это Layer 3, дешево не бывает."

 

не обязательно layer3, многие L2 - прекрасно фильтруют по ip, маскам, протоколам, портам и проч...

да стоят не дорого

www.dlink.ru

совсем безглючных моделей там нет, но с ИБС - некоторые! неплохо пашут.

 

layer 3 - имеется ввиду роутинг, но отнують не Ip как вы думаете

 

Вообще деление l2-l3 - условное. Многие модели находяться где то между.

[Общение с ЖСКХ]

"А закон "О конкуренции" они там не читали?"

нет не читали и плевать им на него

[#189. Считать или резать?]

вообще - мы несколько драматизируем события.

почему? потому что ДС - сейчас это бизнес и деньги, а заниматься "бизнесом" в России, неустанно вкладывая в него деньги, и всем "страшновато".

Так что не волнуйтесь все будет хорошо.

Рынок поделиться - вот увидите. Москва - это более 10 млн-в. Хватит всем.