v-m-k

А в чём проблема поставить smtp сервер, настроить на нём релей на сервак провайдера (например) и завернуть туда всех с 25м портом... будет тебе релей с авторизацией...

у нас 2 сетки соединено бриджами на 2100 перешитой в ББ. Скорость 40Mb/s (5MB/s). Мерил iptraf и trafshow на шлюзе + показания downloaderoв. P.S. Соединены в стандарте 108G.

А я бы посоветовал проверить насколько сквозны порты (может ICS токо icmp пускает, вот вам и трассировка и пинги). А ты telnet ya.ru 80 сделай, и набей что нить типа GET / HTTP1.0 и 2 entera. Страница вываливается? копай в сторону браузера, невозможно подрубится, тогда ICS что-то режет...

А зачем скрин? Посмотри воочию ping ip узла -l 64000

queue = количество пакетов в очереди. Меньше, меньше надёжность, больше, больше надёжность но и больше задержки, всё просто...

А у мя по контролю самописная фигня. Нарушает нормальную работу arp протокола в целом. Т.е. Юзер поставил не правильный IP, не пускает (формирует фальшивые пакеты). Если всё же юзер прорвался (firewallы и прочая фигня) срабатывает второй этап при запросе (таким юзером) IP удалённой машины, формирует ответ и в mac вносит IP самого юзверя. Как следствие может просканить всю подсеть, а маки у всех ip, в его arp одинаковые. Соответственно умеет блокировать неизвестных, вносить новых, бороться с заблокированными. Неплохая штуковинка для неуправляемого оборудования. Борьба с ней, это только статическая arp таблица.

в 1м твоём примере общее у всех 128 во втором каждому. Т.к. различаются они по dst-ip. Если есть маска разделяющая то каждому по трубе, если нет то всех в одну.

А нафига те pipe с масками, если в queue используешь? :\ Каждому но не превышающий сумарно твой общий pipe

В /etc/sysctl.conf пишем net.inet.ip.fw.one_pass=0 (или sysctl -w net.inet.ip.fw.one_pass=0) сделал? А то у тя после 1го pipe будет заканчиваться прохождение последущих правил. Общую надо до личных. Т.е. сначала общий pipe а потом для каждого по pipу. Здесь ты зажимаешь входящий. Т.е. если кто-то фильм решит другу послать то забьёт тебе весь канал. А так вроде всё верно.

Давай по порядку: Маска = значение по которому разделяется народ src-ip = по ip отправителя dst-ip аналогично по ip получателя src-addr - железный адрес отправителя (mac) dst-addr - железный адрес получателя (mac) Разницы в том, что в первом случае pipe = общий на группу адресов с разными dst-ip Во втором, pipe 1 для всех. Т.е. общее 1024 queue - длина твоей очереди. Вообщем надо подбирать под себя. Всё зависит от количества народа и от твоих потребностей. Хочешь надёжную связь, ставь queue большую, но при этом будут большие задержки, хочешь маленькие задержки (на взгляд пользователя, но не гарантированную доставку, ставь поменьше. По умолчанию вроде там 50 стоит) Всё делается weight - весом. Чем больше вес и чела, тем больше его приоритет. Тем у кого одинаковый приоритет ставишь 1 вес, меньше, ставишь меньше. Тоже зависит от потребностей.

Как раз только читал об этом. На ссылки http://www.opennet.ru/tips/info/226.shtml - сделать общую трубу, см ниже обсуждение. http://www.opennet.ru/base/net/ipfw_queue_mask.txt.html - равномрно разделить. Теперь насчёт маски. Не путай маску IP и маску в пайпах, разные вещи. Смысл в том что например на разные dst-ip или на разные src-ip будет скорость по 32Kbit/s (например)...

Да точно, невнимательно прочитал. Если для всех одинаковая скорость то смотри в сторону масок. Вот тебе ссылочка http://www.opennet.ru/tips/info/226.shtml

Там есть специальный модуль, чтоб для одинаковых пар хостов канал сохранялся. ( то есть этот конкретный юзер, на этот конкретный веб-сервер будет попадать через один и тот-же канал ) Интересная тема... А что за модуль не подскажете?

Кстати точно, 1 порт не сможет переполнить таблицу, ему контроль arp потока не даст... Речь идёт о непосредственном снифинге в сети, построенном на свитчах. Соответственно 1е не возможно без применения 2го или 3го

Таблицы свитчей это аттака проходит только наверное на старом оборудование.... Просто на свитчах равномерно удаляются старые записи и пишутся новые. Единственное что получится добиться, это отказ в обслуживание данным свитчём и то не всегда... А вот спуффинг, но arp таблицы должны быть динамическими, что бы сработал этот метод.

Я это и имел ввиду. А почему САМ таблица? Мне всегда казалось arp... :\ Посылаются ff:ff:ff:ff:ff:ff широковещалки, которые нужный IP присваивают себе, соответственно атакуемый путается и может послать нужную информацию на фальшивый комп...

Правильные у тя подозрения. Ты всех в 1 pipe запихнул. А pipe это как водопроводная труба диаметром 30Kb/s :) Вот и подумай. Кстати + ты ограничиваешь скачку народом, а вот исходящий у них будет реальным (т.е. скока смогут выжать). Удачи, делай для каждого свой pipe.

А вы снифинг со спуфингом не путаете немного? На свитчах обычный снифинг не доступен, а спуфинг реален... Есть такая штучка называется antidote Посмотри на секьюрите лабе, должна помочь, если поставить сможешь. P.S. это под Linux. А вообще весь взлом сводиться к подмене arp записей на фальшивые, так что факт что что-то происходит установить сможешь, но досканально до порта, где сидит хакер, не доберёшься.

http://www.opennet.ru/docs/RUS/traf_limit/ это поможет. Читать внимательно!

А нужен именно бридж? Роутинг прописать не будет лучше если уж роутеры есть...

Ща как раз делаю что-то подобное (заказ файла, как на спутнке). Канал ночью простаивает, жалко. Потом может выложу в свободный доступ (P.S. Делается под nix).

Проксю надо в прозрачный режим перевести (transperent, если не ошибся в написании). Почитай на opennet.ru хорошие статьи были по разруливанию траффика через squid.

А я б abills (http://abills.asmodeus.com.ua/wiki/doku.php) или freenibs (http://nibs.net.ua/src.php) я использую нибс переписанный сильно под себя. Устраивает, online постоянно челов 80 крутятся пока за полгода юзанья траблов не видел.

В HTB ты не сделаешь динамического шейпера, на эту тему смотри в сторону IMQ (как понял из описания, как раз что-то типа pipe) Жы а HTB не только для зажимания можно использовать... Но и очередь красивую строить раскидывая траф по приоритетам, соответственно пуская интерактивный быстрее...

Он же всё говорит: configure: error: Cannot find OpenSSL's <evp.h> Попробуй поставить OpenSSL или переставить, раз указываешь.... Или убери из apache поддержку OpenSSL...