crank Posted February 18, 2016 Добрый день. Периодически появляются абоненты с вирусами, которые начинают сканировать сеть, в результате чего резко увеличивается кол-во записей в таблице conntrack. С одного такого абонента кол-во записей бывает по несколько десятков тысяч. Кто и как с этим борется? Стоит ли абоненту резать макс. кол-во подключений? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted February 18, 2016 Блокировать абоненту доступ в сеть пока не починит свой чудо компутер? Вы думаете это только вам оно коннтрек заливает? А представляете как колбасит того, кто где-то в интернетах получает весь поток говна от подобных товарищей? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted February 18, 2016 Я ограничиваю тысячей трансляций на юзера в таблице НАТа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted February 18, 2016 Я ограничиваю тысячей трансляций на юзера в таблице НАТа. +1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted February 18, 2016 В iptables ограничить можно только с помощью connlimit? Он вроде сильно увеличивает нагрузку на сервер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sacrament Posted February 19, 2016 Да кстати кто как ограничивает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted February 19, 2016 У меня НАТ на циске ip nat translation max-entries 300000 ip nat translation max-entries all-host 1000 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted February 19, 2016 ограничивать, конечно. лично я ограничиваю 2000 tcp + 2000 udp на абонента Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tau Posted February 20, 2016 Подкрутите сначала таймауты conntrack, по дефолту там нереально большие стоят. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted February 20, 2016 Таймауты само собой нужно в первую очередь крутить. Сейчас использую такие net.netfilter.nf_conntrack_generic_timeout = 300 net.netfilter.nf_conntrack_icmp_timeout = 30 net.netfilter.nf_conntrack_tcp_timeout_close = 10 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30 net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300 net.netfilter.nf_conntrack_udp_timeout = 30 net.netfilter.nf_conntrack_udp_timeout_stream = 180 Так как же лучше в iptables ограничивать кол-во соединений? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 20, 2016 1000 трансляций на абонента - это маловато по нынешним временам. Этого хватит разве что пользователь подключен напрямую или за роутером один пользователь. А если хотя бы 3-4 пользователя, то нужно хотя бы 2 тысячи ставить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
apm Posted March 7, 2016 А с freebsd ng_nat кто нить умеет ограничивать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
apm Posted October 25, 2016 Или на свитчах доступа (типа DES-3200-28F) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 25, 2016 чего только люди не делают лишь бы ipv6 не внедрять Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 25, 2016 Кому он нужен на сегодняшний день? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 25, 2016 технически он нужен оператору, чтобы вот таким вот не заниматься Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted October 25, 2016 технически он нужен оператору, чтобы вот таким вот не заниматься Обычно продается то, что нужно покупцу а не продавцу. ipv6 на данный момент (почти) не востребован абонентом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
_INF_ Posted October 25, 2016 чего только люди не делают лишь бы ipv6 не внедрять Клиент точно так-же своими миллионами фэйковых соединений будет класть оборудование и каналы провайдера. Чем IPv6 в данном случае поможет то? Задача вроде избавиться от сетевого хлама как можно ближе к клиенту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 25, 2016 с каких пор провайдеру стало интересно что-то выше ip заголовка чтобы показывать абоненту котиков? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
_INF_ Posted October 26, 2016 с каких пор провайдеру стало интересно что-то выше ip заголовка чтобы показывать абоненту котиков? Вы можете не поверить, но с давних, практически как только такая возможность появилась. Проводить анализ трафика, на основании которого можно сделать некоторые выводы о изменении характера трафика и понять, что же клиентам все таки надо :) Путные провайдеры, то как раз этим и занимаются. Хотя мы несколько отдалились от темы обсуждения. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 26, 2016 Хотя мы несколько отдалились от темы обсуждения. отнюдь, мы все еще в теме Проводить анализ трафика, на основании которого можно сделать некоторые выводы о изменении характера трафика и понять, что же клиентам все таки надо :) Путные провайдеры, то как раз этим и занимаются Это неправильные провайдеры которые пытаются узнать то что им не нужно. Отслеживание соединений совершенно ни к чему, связки ip-ip вполне достаточно ибо больше чем улучшенную связность и доступность сервисов все равно не сделать, не важно, https до вконтакта это или торренты с абонетнами РТК, в любом случае оператору вариант или покупать пиринг на IX или e РТК, но большее ему просто не нужно. Ограничение количества трансляций это как лекарство от простуды, только скрывает симптомы, если болезнь не лечить результат будет только один Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
