shicoy Опубликовано 10 сентября, 2009 · Жалоба на форуме много дебатов резать или не резать IP сессии на клиента, это пусть решает сам. Возникает вопрос, если резать то чем и как? Мы пробовали резать на linux используюя -m connlimit Столкнулись с проблемой производительности: при пропуске трафика порядка 200+Мбит (35-40pps), пинг растет, пакеты дропаются и т.д. Google подсказал что, connlimit весьма ресурсоемкий вариант, отсюда вопрос, кто чем ограничивает по Linux, если нужно переварить такой или чуть больший объем трафика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 10 сентября, 2009 (изменено) · Жалоба на форуме много дебатов резать или не резать IP сессии на клиента, это пусть решает сам.Возникает вопрос, если резать то чем и как? На сетевом уровне, там где IP, ни сессий, ни соединений вообще нет. Нужно говорить об ограничении числа firewall states на один IP. На самом деле, беда не в соединениях и не в стейтах, а в большом пакетрейте. Почему пакеты теряются? Потому что у сетевухи RX-буфер забивается до того, как ядро что-то успеет обработать и ограничить. Наиболее приемлемый вариант -- ограничивать пакетрейт не на шейпере, а на коммутаторах и как можно ближе к источнику. Если большой пакетрейт создается не одним-двумя IP, то это не аномалия, и надо ставить более мощное железо. Изменено 10 сентября, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 10 сентября, 2009 · Жалоба pf вполне нормально ограничивает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 10 сентября, 2009 · Жалоба 2kapa: pf под linux нет. 2photon: в моем случае задача именно ограничивать кол-во одновременных соединений во внешнюю сеть (интернет) с одного/нескольких локальных IP адресов. С pps отдельная история. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
White_Alex Опубликовано 10 сентября, 2009 · Жалоба на форуме много дебатов резать или не резать IP сессии на клиента, это пусть решает сам.Возникает вопрос, если резать то чем и как? Cisco ASA очень хорошо умеет то, что Вам надо, мы используем в т.ч. и под ограничение количества коннектов на клиента более года - довольны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 10 сентября, 2009 · Жалоба на форуме много дебатов резать или не резать IP сессии на клиента, это пусть решает сам.Возникает вопрос, если резать то чем и как? Cisco ASA очень хорошо умеет то, что Вам надо, мы используем в т.ч. и под ограничение количества коннектов на клиента более года - довольны Щас Вам ответят, что cisco под linux нет ;) Я думаю, тему стоит более конкретно назвать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 10 сентября, 2009 · Жалоба нет, совершенно очевидно те кто применяет решение под linux не имеет средств на asa, Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...