pppoetest Опубликовано 31 марта, 2021 · Жалоба Нет конечно, всё ручками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 1 апреля, 2021 · Жалоба 10 часов назад, Susanin сказал: Доброго времени. Большой респект автору и вопрос: есть ли какой механизм сохранения/восстановления настроек при перезапуске iptables ? Я выгружаю скриптом по крону, потом при старте подхватываю так же скриптом ps: зачем рестартовать iptables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avovtchak Опубликовано 1 апреля, 2021 · Жалоба Всем привет. Никто не наблюдал утечки памяти после начала использования данного модуля? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 1 апреля, 2021 · Жалоба 1 час назад, avovtchak сказал: Всем привет. Никто не наблюдал утечки памяти после начала использования данного модуля? Нет, использую в нескольких проектах, везде всё отлично работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 1 апреля, 2021 · Жалоба 17 hours ago, Susanin said: Доброго времени. Большой респект автору и вопрос: есть ли какой механизм сохранения/восстановления настроек при перезапуске iptables ? У меня этим занимается биллинг, который управляет сервисами с проверкой состояния. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kid79 Опубликовано 19 апреля, 2021 · Жалоба народ, а на nftables кто уже пробовал переехать? как работает лучше-хуже? если переехали можно пример Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 19 апреля, 2021 · Жалоба А оно разве будет работать с nft? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kid79 Опубликовано 19 апреля, 2021 · Жалоба по идее должно, т.к nftables уже имеет встроенный ipset -vmap если не ошибаюсь , а как вот выставить ratelimit пока не пойму. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avovtchak Опубликовано 23 сентября, 2021 · Жалоба Всем привет. Пытаюсь ограничить скорость доступа в интернет, но оставить без ограничений скорость доступа к серверам, находящимся в сети 192.168.140.0/24 /sbin/iptables -A FORWARD -d !192.168.140.0/24 -m ratelimit --ratelimit-set uplimit --ratelimit-mode src -j DROP /sbin/iptables -A FORWARD -s !192.168.140.0/24 -m ratelimit --ratelimit-set downlimit --ratelimit-mode dst -j DROP Получаю следующую ошибку iptables v1.6.0: host/network `!192.168.140.0' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.6.0: host/network `!192.168.140.0' not found Try `iptables -h' or 'iptables --help' for more information. Я что то делаю неверно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 23 сентября, 2021 · Жалоба man iptables: ... [!] -d, --destination address[/mask][,...] ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avovtchak Опубликовано 24 сентября, 2021 · Жалоба 23 hours ago, vop said: man iptables: Да, спасибо, уже увидел. Оказывается в разных версиях iptables этот синтаксис отличается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XNeo Опубликовано 5 января, 2022 · Жалоба 2aabc, А нету желания добавить поддержку ограничения для групп? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 15 февраля, 2022 · Жалоба Народ подскажите как оно с новыми версиями ядер/iptables дружит? А то на гите последнее обновление два года назад. Проект не заброшен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hRUst Опубликовано 15 февраля, 2022 · Жалоба Debian 11 5.10.0-10-amd64 работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 15 февраля, 2022 · Жалоба Собирается на ядрах вплоть до 5.16 и iptables-1.8.7 (новее не проверялось). И даже работает. Но проблема, что нельзя задать полосу более 2 гигабит остается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h3ll1 Опубликовано 15 февраля, 2022 (изменено) · Жалоба On 2/15/2022 at 7:21 AM, Стич said: новыми версиями ядер/iptables дружит nftables, нет там iptables. "nft add table inet in nft add chain inet in rules-il { type filter hook prerouting priority 0\; policy accept\;} nft add rule inet in rules-il ip saddr 192.168.0.254 limit rate over 10 kbytes/second counter drop nft list table inet in; " Изменено 15 февраля, 2022 пользователем h3ll1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 16 февраля, 2022 (изменено) · Жалоба В 15.02.2022 в 23:48, h3ll1 сказал: nftables, нет там iptables. В смысле? То что некоторые OS выкинули iptables слышал, что новые ядра iptables не поддерживают сомневаюсь. Изменено 16 февраля, 2022 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h3ll1 Опубликовано 16 февраля, 2022 · Жалоба Поддерживается, но в больших случаев там iptables-translate переводчик для удобства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 16 февраля, 2022 · Жалоба В 16.02.2022 в 04:48, h3ll1 сказал: nft add rule inet in rules-il ip saddr 192.168.0.254 limit rate over 10 kbytes/second counter drop На сколько это все хорошо работает со списком правил ~10 тыс? Ситуация с плоским фильтром iptables не повторяется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 16 февраля, 2022 · Жалоба В 16.02.2022 в 16:20, taf_321 сказал: На сколько это все хорошо работает со списком правил ~10 тыс? Ситуация с плоским фильтром iptables не повторяется? Емнип, в nft, работа со списками аля ipset бай дизайн. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 16 февраля, 2022 · Жалоба 2 часа назад, pppoetest сказал: Емнип, в nft, работа со списками аля ipset бай дизайн. это еще не о чем не говорит, кто нибудь пробовал 10k ip на 10Gbps? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h3ll1 Опубликовано 17 февраля, 2022 (изменено) · Жалоба Проблемов нет (у меня 2к абонов, но поделил на 3 източника и так правила становятся 6к на вход и 6к изход). Quote nft list ruleset | wc 77025 276179 2987012 Делаеш так: ip daddr vmap { 10.10.115.10 : goto chain-390-cl-2, 10.10.115.11 : goto chain-390-cl-3 } chain chain-390-cl-2 { limit rate over 125000 kbytes/second counter packets 0 bytes 0 drop } chain chain-390-cl-3 { limit rate over 6250 kbytes/second counter packets 0 bytes 0 drop } Примерно. Изменено 17 февраля, 2022 пользователем h3ll1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 февраля, 2022 · Жалоба В 16.02.2022 в 13:20, taf_321 сказал: Ситуация с плоским фильтром iptables не повторяется? Есть же готовые утилиты, чтобы плоский список преобразовать в бинарное дерево. Для ipfw точно есть, но наверное и под iptables можно адаптировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 17 февраля, 2022 · Жалоба В 17.02.2022 в 15:17, h3ll1 сказал: ip daddr vmap { 10.10.115.10 : goto chain-390-cl-2, 10.10.115.11 : goto chain-390-cl-2 } chain chain-390-cl-2 { limit rate over 125000 kbytes/second counter packets 0 bytes 0 drop } Вот в этом случае скорость 125000 kbytes/second будет делиться между 10.10.115.10 и 10.10.115.11, или 125000 kbytes/second выделяться каждому? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h3ll1 Опубликовано 17 февраля, 2022 (изменено) · Жалоба Поправил на ip daddr vmap { 10.10.115.10 : goto chain-390-cl-2, 10.10.115.11 : goto chain-390-cl-3 } Бивает у абона есть несколько адресов, тогда все на 1 чейн. Вмап разносит их на 2 самостоятельние chains. t.e chain chain-390-cl-2 дла абон 1, chain-390-cl-3 для абон2 и тд. Если хотите целую группу полисить, то там ставится правило впереди вмап-а. Изменено 17 февраля, 2022 пользователем h3ll1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...