crank Опубликовано 18 февраля, 2016 · Жалоба Добрый день. Периодически появляются абоненты с вирусами, которые начинают сканировать сеть, в результате чего резко увеличивается кол-во записей в таблице conntrack. С одного такого абонента кол-во записей бывает по несколько десятков тысяч. Кто и как с этим борется? Стоит ли абоненту резать макс. кол-во подключений? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 18 февраля, 2016 · Жалоба Блокировать абоненту доступ в сеть пока не починит свой чудо компутер? Вы думаете это только вам оно коннтрек заливает? А представляете как колбасит того, кто где-то в интернетах получает весь поток говна от подобных товарищей? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 февраля, 2016 · Жалоба Я ограничиваю тысячей трансляций на юзера в таблице НАТа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 18 февраля, 2016 · Жалоба Я ограничиваю тысячей трансляций на юзера в таблице НАТа. +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 18 февраля, 2016 · Жалоба В iptables ограничить можно только с помощью connlimit? Он вроде сильно увеличивает нагрузку на сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sacrament Опубликовано 19 февраля, 2016 · Жалоба Да кстати кто как ограничивает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 19 февраля, 2016 · Жалоба У меня НАТ на циске ip nat translation max-entries 300000 ip nat translation max-entries all-host 1000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 19 февраля, 2016 · Жалоба ограничивать, конечно. лично я ограничиваю 2000 tcp + 2000 udp на абонента Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 20 февраля, 2016 · Жалоба Подкрутите сначала таймауты conntrack, по дефолту там нереально большие стоят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 20 февраля, 2016 · Жалоба Таймауты само собой нужно в первую очередь крутить. Сейчас использую такие net.netfilter.nf_conntrack_generic_timeout = 300 net.netfilter.nf_conntrack_icmp_timeout = 30 net.netfilter.nf_conntrack_tcp_timeout_close = 10 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30 net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300 net.netfilter.nf_conntrack_udp_timeout = 30 net.netfilter.nf_conntrack_udp_timeout_stream = 180 Так как же лучше в iptables ограничивать кол-во соединений? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 февраля, 2016 · Жалоба 1000 трансляций на абонента - это маловато по нынешним временам. Этого хватит разве что пользователь подключен напрямую или за роутером один пользователь. А если хотя бы 3-4 пользователя, то нужно хотя бы 2 тысячи ставить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apm Опубликовано 7 марта, 2016 · Жалоба А с freebsd ng_nat кто нить умеет ограничивать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apm Опубликовано 25 октября, 2016 · Жалоба Или на свитчах доступа (типа DES-3200-28F) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 октября, 2016 · Жалоба чего только люди не делают лишь бы ipv6 не внедрять Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 25 октября, 2016 · Жалоба Кому он нужен на сегодняшний день? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 октября, 2016 · Жалоба технически он нужен оператору, чтобы вот таким вот не заниматься Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 25 октября, 2016 · Жалоба технически он нужен оператору, чтобы вот таким вот не заниматься Обычно продается то, что нужно покупцу а не продавцу. ipv6 на данный момент (почти) не востребован абонентом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_INF_ Опубликовано 25 октября, 2016 · Жалоба чего только люди не делают лишь бы ipv6 не внедрять Клиент точно так-же своими миллионами фэйковых соединений будет класть оборудование и каналы провайдера. Чем IPv6 в данном случае поможет то? Задача вроде избавиться от сетевого хлама как можно ближе к клиенту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 октября, 2016 · Жалоба с каких пор провайдеру стало интересно что-то выше ip заголовка чтобы показывать абоненту котиков? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_INF_ Опубликовано 26 октября, 2016 · Жалоба с каких пор провайдеру стало интересно что-то выше ip заголовка чтобы показывать абоненту котиков? Вы можете не поверить, но с давних, практически как только такая возможность появилась. Проводить анализ трафика, на основании которого можно сделать некоторые выводы о изменении характера трафика и понять, что же клиентам все таки надо :) Путные провайдеры, то как раз этим и занимаются. Хотя мы несколько отдалились от темы обсуждения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 26 октября, 2016 · Жалоба Хотя мы несколько отдалились от темы обсуждения. отнюдь, мы все еще в теме Проводить анализ трафика, на основании которого можно сделать некоторые выводы о изменении характера трафика и понять, что же клиентам все таки надо :) Путные провайдеры, то как раз этим и занимаются Это неправильные провайдеры которые пытаются узнать то что им не нужно. Отслеживание соединений совершенно ни к чему, связки ip-ip вполне достаточно ибо больше чем улучшенную связность и доступность сервисов все равно не сделать, не важно, https до вконтакта это или торренты с абонетнами РТК, в любом случае оператору вариант или покупать пиринг на IX или e РТК, но большее ему просто не нужно. Ограничение количества трансляций это как лекарство от простуды, только скрывает симптомы, если болезнь не лечить результат будет только один Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...