Перейти до

Как ограничить количество контраков?


Рекомендованные сообщения

Всем привет, подскажите как можно ограничить максимальное количество контраков на абона? делал так

iptables -I FORWARD -m connlimit --connlimit-above 5000 -j DROP

проц в полку!(

Ссылка на сообщение
Поделиться на других сайтах

не секрет, есть юзеры перепродаваны, у нас расценки для юриков побольше чем для физиков, так вот есть особо умные в частности кафешки, гостишки и т.д., просят когото из соседей подключится и кинуть к юрику кабель, ну и генерят трафика ну в разы больше чем среднестатистический абон, например в среднем у абонов до 1000-1500 контраков, а у этих под 40к, ну вы поняли!)

Ссылка на сообщение
Поделиться на других сайтах

Ну а, собственно, такая вещь как шейпер у Вас есть? Что Вам мешает для конкретного диапазона IP с помощью iptables сделать шейпинг туда и обратно?

Ссылка на сообщение
Поделиться на других сайтах
19 минут назад, ageNT_666 сказал:

не секрет, есть юзеры перепродаваны, у нас расценки для юриков побольше чем для физиков, так вот есть особо умные в частности кафешки, гостишки и т.д., просят когото из соседей подключится и кинуть к юрику кабель, ну и генерят трафика ну в разы больше чем среднестатистический абон, например в среднем у абонов до 1000-1500 контраков, а у этих под 40к, ну вы поняли!)

если шейпа нету, то тупо на порту свича урезаете скорость 

вход 100мб ( сервер пусть шейпит)

исход - 10 мегабит

вся пена аборигенная идет в договор где указана скорость за Вход. а не на исход.

Ссылка на сообщение
Поделиться на других сайтах
13 минут назад, ISK сказал:

Ну а, собственно, такая вещь как шейпер у Вас есть? Что Вам мешает для конкретного диапазона IP с помощью iptables сделать шейпинг туда и обратно?

 

А чем тут шейпер поможет? Ну купил он 100Мбит/с за 100грн и постоянно в полку их использует.

Все правильно - нужно ограничивать сессии. Но на тазике это не получится, тут нужно железное решение.

Ссылка на сообщение
Поделиться на других сайтах
20 минут назад, Земеля сказал:

если шейпа нету, то тупо на порту свича урезаете скорость 

вход 100мб ( сервер пусть шейпит)

исход - 10 мегабит

вся пена аборигенная идет в договор где указана скорость за Вход. а не на исход.

Ну это смотря, что у Вас за сеть... особо рьяные аплоадеры, таки да, идут лесом...

 

17 минут назад, ageNT_666 сказал:

хочу ограничить только для физ лиц, чтоб комфортно было пользоваться инетом на 5-6 устройствах

Ну так это софтово решается, либо микротом, либо, опять же, смотря какой у Вас бюджет...

Відредаговано ISK
Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, KaYot сказал:

А проц то в полку от чего? От правила ограничивающего или от огромной таблицы conntrack?

 

как только правило прописываю, через секунд 30 проц упирается, не смотрел что именно в этот момент начало грузить, т.к. сразу звоники, пришлось сразу убирать правило.
всего через этот нас крутится около 850-900 абонов и около 250к контраков

Ссылка на сообщение
Поделиться на других сайтах
12 минут назад, KaYot сказал:

А проц то в полку от чего? От правила ограничивающего или от огромной таблицы conntrack?

Да, от огромной таблицы conntrack..., а правила тут ни при чём...

Відредаговано ISK
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
11 минут назад, ISK сказал:

Да, от огромной таблицы conntrack..., а правила тут ни при чём...

вы пошутили сейчас??
net.netfilter.nf_conntrack_count = 263214

top - 15:04:07 up 92 days,  5:28,  1 user,  load average: 0,43, 0,32, 0,24
Tasks: 108 total,   2 running, 106 sleeping,   0 stopped,   0 zombie
%Cpu0  :  0,7 us,  0,7 sy,  0,0 ni, 63,2 id,  0,0 wa,  0,0 hi, 35,0 si,  0,4 st
%Cpu1  :  0,4 us,  0,4 sy,  0,0 ni, 61,3 id,  0,0 wa,  0,0 hi, 37,9 si,  0,0 st

 

ip ro |grep ipoe |wc -l
1136

Відредаговано ageNT_666
Ссылка на сообщение
Поделиться на других сайтах

Все в этом мире связано. Правило заставляет просматривать таблицу на каждый пакет, и от её размера напрямую зависит наличие тормозов.

Наверное нужно кроме самого коннлимита поставить проверку на флаги new и established.

Ну и покрутить таймеры для коннтрака, на 1к абонентов 250к контрака - запредельно.

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, ageNT_666 сказал:

хочу ограничить только для физ лиц, чтоб комфортно было пользоваться инетом на 5-6 устройствах

? а потом рассказывают, что конкурируют с крупными игроками качеством... 

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, tkapluk сказал:

с крупными игроками

 

Вася, если представить  99% провайдеров Украины в виде чего-то материального, то:

крупные провайдеры - большая лепёшка из говна, а мелкий провайдер - маленькая какашечка.

 

Как одно говно может конкурировать с другим говном - непонятно. Тут роль играет только есть ли табличка "Свежее дешёвое г...но" или нет

 

Бренды, акции, тарифы, услуги, опорная сеть, маршрутизаторы, инфраструктура -- разные.

А чердак девятиэтажки с жмутом витухи по фасаду в ящик, который ребёнок пробьет пальцем -- одинаковый.

 

Я до сих пор в шоке -- это кем надо быть, чтоб позволить добровольно пробить отверстие в стене ради интернет-кабеля?)))))

 

Відредаговано hailnora
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
3 часа назад, KaYot сказал:

Все в этом мире связано. Правило заставляет просматривать таблицу на каждый пакет, и от её размера напрямую зависит наличие тормозов.

Наверное нужно кроме самого коннлимита поставить проверку на флаги new и established.

Ну и покрутить таймеры для коннтрака, на 1к абонентов 250к контрака - запредельно.

Я это понимаю, но как раз львиную долю контрактов генерят 10-15 абонов. Вопрос встал даже больше не из коммерческих побуждений, а как это все реализовать, т.к. у один из абонов переключился к нам, начали с ним общаться типа из за чего, говорит предыдущий провайдер ограничивал если не ошибаюсь в 100 запросов в минуту, типа на 3 устройства норм, а больше беда, и техподдержка их отвечала вы превысили лимит запросов, переходите на тариф повыше.

Відредаговано ageNT_666
Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, ageNT_666 сказал:

вы присылаете лимит запросов, переходите на тариф повыше

 

Вот бы она отвечала: "Вы нарушаете условия договора, занимаетесь незаконной предпринимательской деятельностью. Мы уже сообщили, куда надо. За вами выехали"

 

?

Ссылка на сообщение
Поделиться на других сайтах

Любые зарезания сервиса(кроме скорости), по соединениям или по ппс - скотство и неуважение к клиенту.

10 индивидов смотрящие новости и ютубчик на планшетах могут создавать околонулевой поток соединений/пакетов.

А один вполне лигитимный хомячек качающий обновление к танчикам на 10гб и смотрящий параллельно телек по IPTV выйдет за лимиты и получит дулю с маком а не интернет. Или тупо смотрящий торрент-тв на приставке.

Или опять же качающий свежую серию сериала торрентом и играющий в танчики.

Что тут незаконного, почему у него интернет не работает?

  • Like 1
  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах

На работоспособность торрента прирез ппс не повлияет. Ну скорость немного упадет. Там все равно удп и не гарантированная доставка. А если как утверждает тс ппс на порту больше на порядок, то вполне поможет порубить тсп от 50 клиентов.

Відредаговано Кеша
Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, Кеша сказал:

На работоспособность торрента прирез ппс не повлияет. Ну скорость немного упадет. Там все равно удп и не гарантированная доставка.

У торрента скорость не упадет, да. А у одновременно запущенных танчиков или ТВ связь исчезнет полностью.

Если уж резать - то только на аппаратных БРАСах, которые оперируют и ограничивают именно flows, установленные активные соединения клиента. Если я конечно правильно понял мануал к этим самым БРАСам))

Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, H_U_L_K сказал:

Или пров не видит сколько МАКов за НАТом роутера?

Каким образом?

Лет 12 назад, когда активно начали появляться безлимитки, эта вся тема активно обсуждалась. Помню, насчет ТТЛ там что-то много говорилось.

Я в те же годы таким страдал, раздавая инет на вин2к3 с прогой Трафик Инспектор. Там я блокировал максимальное количество соединений.

Но больше из за того, что проц грузило, когда у какого то юзверя вирус начинал сильно шалить.

Потом начались времена торрентов и юзверы начали ругаться. Отключаться.

Если бы все они знали, что у них сервер на винде, они бы вообще все наверное отключились )

Ссылка на сообщение
Поделиться на других сайтах
17 минут назад, Туйон сказал:

Если бы все они знали, что у них сервер на винде, они бы вообще все наверное отключились )

Да всем пофиг как оно у тебя крутится, лишь бы работало. 

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від smartlid
      Есть такая проблема, сделал ipip туннель и перенаправляю трафик с внешнего айпи на внутренний, для этого используется nat + prerouting, вообщем обычный фовардинг. И есть synproxy который убирает с контрака syn, поэтому перенаправление трафика ломается. Вот правила:
      iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m conntrack --ctstate INVALID -j DROP iptables -t nat -D PREROUTING -p tcp -m tcp -d $wan_addr --dport $dest_port_wan -j DNAT --to-destination $dest_addr_lan:$dest_port_lan iptables -D FORWARD -m state -p tcp -d $dest_addr_lan --dport $dest_port_lan --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -D POSTROUTING -p tcp -m tcp -s $dest_addr_lan --sport $dest_port_lan -j SNAT --to-source $wan_addr Как это заставить вместе работать?
    • Від Archy_k
      Всем привет.
      У меня был серв на фрибсд, который не перенес грозу Теперь приходится все плюшки поднять на Дебиане.
      Подскажите пожалуйста, как в Дебиане сделать такую штуку:
      Есть сеть, которая натится на некую ip, например 1.1.1.1
      Есть абонент, который получает серый ip 172.16.0.100 (но когда денег на счету нет, то 172.22.0.100)
      И вот этот абонент установил ip-камеру. И смотрит он эту камеру софтиной на портах 9998 и 9999 например.
      1.Как в дебиане сделать чтоб фаервол перекидывал запросы на ip 1.1.1.1:9998 и 1.1.1.1:9999 в сторону абонента 172.16.0.100:9998 и 172.16.0.100:9999 ?
      2.Что делать если завтра 2 абонент захочет ip-камеру. Можно ли чтоб запросы на ip 1.1.1.1:788 и 1.1.1.1:789 летели на 172.16.0.100:9998 и 172.16.0.100:9999 ?
      Вопрос именно в написании самих команд этого iptables'а... не получается понять сам принцип работы этого iptables'a.
      Заранее благодарю за помощь!
    • Від tkapluk
      Есть линуксовый сервер с iptables.
       
      На интерфейс Eth0 приходит пакет и успешно отсылается на Eth1. В ответ на этот пакет через Eth2 возвращается ответный пакет и умирает на сервере.
      Если ответный пакет возвращается через Eth1 все ок(уходит в Eth0). Новые пакеты с Eth2 в Eth0 тоже идут.
       
      Схематически:

      Eth0->[ ]->Eth1 X <-[ ]<-Eth2 Как заставить сервер отправлять ответные пакеты через Eth0?
    • Від REV
      Доброго времени суток!) Дабы ограничить пользователей, решил их скидывать в одну подсеть где нет интернета.

      Скидывать всех в одну подсеть, и показывать им страницу "дай денег", это получилось сделать.
      Но не понятно как так сделать в iptables, чтобы была возможность с этой странички ходить по ссылкам https в сторону 443 порта?
      Думал, добавить filter до prerouting:

      192.168.16.0/24 - подсеть без денег
      2**.*1*.*5.*7 - адрес куда хотелось бы ходить
      *1.*30.2*0.3* - внешний адрес шлюза
       
      iptables -t filter -A INPUT -s 192.168.16.0/24 -d 21*.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d 21*.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT
       но не выходит.
      Вся секция хождения "в никуда" имеет след. вид:
      iptables -t nat -A POSTROUTING -o eth0 -s 192.168.16.0/24 -j SNAT --to-source *1.*30.2*0.3* iptables -t filter -A INPUT -s 192.168.16.0/24 -d 2**.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d 2**.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT iptables -t nat -A PREROUTING -s 192.168.16.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8000 iptables -t nat -A PREROUTING -s 192.168.16.0/24 -p tcp --dport 443 -j REDIRECT --to-port 8000 iptables -A FORWARD -s 192.168.16.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.16.0/24 -j ACCEPT
      Может, кто-то делал подобное...или, кто-то может подсказать...
    • Від mr.Scamp
      Заметил в микротике прикольную фичу - PCC.
      Позволяет разделить трафик на несколько потоков, причем равномерно.
      Очень полезно для overload NAT-а кучи сеток через несколько внешних адресов, например
      /ip firewall mangle add action=mark-connection chain=prerouting new-connection-mark=nat-1 passthrough=yes per-connection-classifier=src-address:8/0 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-2 passthrough=yes per-connection-classifier=src-address:8/1 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-3 passthrough=yes per-connection-classifier=src-address:8/2 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-4 passthrough=yes per-connection-classifier=src-address:8/3 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-5 passthrough=yes per-connection-classifier=src-address:8/4 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-6 passthrough=yes per-connection-classifier=src-address:8/5 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-7 passthrough=yes per-connection-classifier=src-address:8/6 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-8 passthrough=yes per-connection-classifier=src-address:8/7 \     src-address=10.100.0.0/16 /ip firewall nat add action=src-nat chain=srcnat connection-mark=nat-1 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-2 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-3 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-4 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-5 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-6 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-7 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-8 out-interface=vlan452 to-addresses=194.44.166.xxx Есть вопрос - а как реализовать такой же рулсет с помощью iptables?
       
       
×
×
  • Створити нове...