Перейти к содержимому
Local
ageNT_666

Как ограничить количество контраков?

Рекомендованные сообщения

28 минут назад, H_U_L_K сказал:

Или пров не видит сколько МАКов за НАТом роутера?

МАКи существуют только в L2 сегменте, считай в локалке на свиче/нескольких свичах. L3 или маршрутизация оставляет МАКи в своем сегменте, и оперирует только IP-адресами.

Провайдер видит МАК роутера и больше ничего.

  • Thanks 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
49 минут назад, KaYot сказал:

У торрента скорость не упадет, да. А у одновременно запущенных танчиков или ТВ связь исчезнет полностью.

Если уж резать - то только на аппаратных БРАСах, которые оперируют и ограничивают именно flows, установленные активные соединения клиента. Если я конечно правильно понял мануал к этим самым БРАСам))

это про CGNAT больше
шейперы такого типа жрут неприличное количество ресурсов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Считайте трафик, а потом по достижению лимита ограничивайте полоску исходящего канала. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 часов назад, hailnora сказал:

Я до сих пор в шоке -- это кем надо быть, чтоб позволить добровольно пробить отверстие в стене ради интернет-кабеля?)))))

ЖЫВОТНЫМ

 

И ЗНОВУ ВЫ ГАВНО МИСЫТЬ НАЧАЛЫ ПРО ЯКИСЬ ОГРАНИЧЭНИЯ - ВАМ НЫ НАДОИЛО - ДОВБОЙОБЫ?

ЧИ ВАМ ЗАНЯЦЦЯ НЕХУЙЭМ?

Изменено пользователем Dictator

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: bot
      Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен iptables 1.8.0, новый значительный релиз инструментария для управления пакетным фильтром Linux.

      Основные изменения:

      Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables. Классический фронтэнд теперь поставляется с явным указанием в имени исполняемых файлов слова "-legacy", например iptables-legacy и iptables-legacy-save, а файлы фронтэнда на базе nftables вместо "-compat" теперь заканчиваются на "-nft", например, iptables-nft. При запуске iptables с командой '--version' выдаётся информация о типе фронтэнда (например "iptables v1.8 (legacy)" или "iptables v1.8 (nf_tables)");

      Дистрибутивам рекомендуется устанавливать по умолчанию классический фронтэнд для стабильных выпусков, а в экспериментальных версиях предлагать команды на базе nftables в качестве альтернативы c созданием симлинков iptables, ip6tables, iptables-restore и т.п., указывающих на xtables-nft-multi. В качестве плюсов применения варианта на базе nftables отмечается отсутствие необходимости применения опции "--wait" для решения проблем с одновременным запуском, поддержка мониторинга набора правил при помощи сторонних фоновых процессов, предоставление возможностей для отладки правил (xtables-monitor --trace в сочетании с iptables-действием TRACE) и возможность добавления/удаления правил не меняя внутреннее состояние таких критериев как ограничения и квоты;

      Применяемый для IPv6 критерий (match) 'srh' теперь может применяться для сопоставления с прошлым, следующим и последним идентификатором сеанса (SID);

      В действии (target) CONNMARK обеспечена поддержка операций битового сдвига для критериев restore-mark, set-mark и save-mark;

      В DNAT теперь допустимо использовать сдвинутые диапазоны portmap (входящие обращения к портам (например, 5000-5100) теперь можно перенаправить в иной диапазон портов (2000-2100), в то время как раньше поддерживалось перенаправление только совпадающих диапазонов портов или нужно было перечислять по одному порту в правиле);

      В бэкенд nf_tables добавлены новые команды:
      xtables-monitor - отображает изменения в наборе правил и информацию о трассировке пакетов для отладки правил.
      ebtables - функциональность для замены утилиты ebtables;
      arptables - функциональность для замены утилиты arptables;

      Добавлено семейство утилит 'translate' (ip6tables-translate, ip6tables-restore-translate, iptables-restore-translate, iptables-translate) для преобразования синтаксиса iptables в родные наборы правил nftables, воспринимаемые утилитой nft.

      changelog: https://netfilter.org/projects/iptables/files/changes-iptables-1.8.0.txt

      Источник: Opennet
    • Автор: Archy_k
      Всем привет.
      У меня был серв на фрибсд, который не перенес грозу Теперь приходится все плюшки поднять на Дебиане.
      Подскажите пожалуйста, как в Дебиане сделать такую штуку:
      Есть сеть, которая натится на некую ip, например 1.1.1.1
      Есть абонент, который получает серый ip 172.16.0.100 (но когда денег на счету нет, то 172.22.0.100)
      И вот этот абонент установил ip-камеру. И смотрит он эту камеру софтиной на портах 9998 и 9999 например.
      1.Как в дебиане сделать чтоб фаервол перекидывал запросы на ip 1.1.1.1:9998 и 1.1.1.1:9999 в сторону абонента 172.16.0.100:9998 и 172.16.0.100:9999 ?
      2.Что делать если завтра 2 абонент захочет ip-камеру. Можно ли чтоб запросы на ip 1.1.1.1:788 и 1.1.1.1:789 летели на 172.16.0.100:9998 и 172.16.0.100:9999 ?
      Вопрос именно в написании самих команд этого iptables'а... не получается понять сам принцип работы этого iptables'a.
      Заранее благодарю за помощь!
    • Автор: tkapluk
      Есть линуксовый сервер с iptables.
       
      На интерфейс Eth0 приходит пакет и успешно отсылается на Eth1. В ответ на этот пакет через Eth2 возвращается ответный пакет и умирает на сервере.
      Если ответный пакет возвращается через Eth1 все ок(уходит в Eth0). Новые пакеты с Eth2 в Eth0 тоже идут.
       
      Схематически:

      Eth0->[ ]->Eth1 X <-[ ]<-Eth2 Как заставить сервер отправлять ответные пакеты через Eth0?
    • Автор: REV
      Доброго времени суток!) Дабы ограничить пользователей, решил их скидывать в одну подсеть где нет интернета.

      Скидывать всех в одну подсеть, и показывать им страницу "дай денег", это получилось сделать.
      Но не понятно как так сделать в iptables, чтобы была возможность с этой странички ходить по ссылкам https в сторону 443 порта?
      Думал, добавить filter до prerouting:

      192.168.16.0/24 - подсеть без денег
      2**.*1*.*5.*7 - адрес куда хотелось бы ходить
      *1.*30.2*0.3* - внешний адрес шлюза
       
      iptables -t filter -A INPUT -s 192.168.16.0/24 -d 21*.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d 21*.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT
       но не выходит.
      Вся секция хождения "в никуда" имеет след. вид:
      iptables -t nat -A POSTROUTING -o eth0 -s 192.168.16.0/24 -j SNAT --to-source *1.*30.2*0.3* iptables -t filter -A INPUT -s 192.168.16.0/24 -d 2**.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT iptables -t filter -A OUTPUT -s 192.168.16.0/24 -d 2**.*1*.*5.*7 -p tcp -m tcp --dport 443 -j ACCEPT iptables -t nat -A PREROUTING -s 192.168.16.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8000 iptables -t nat -A PREROUTING -s 192.168.16.0/24 -p tcp --dport 443 -j REDIRECT --to-port 8000 iptables -A FORWARD -s 192.168.16.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.16.0/24 -j ACCEPT
      Может, кто-то делал подобное...или, кто-то может подсказать...
    • Автор: mr.Scamp
      Заметил в микротике прикольную фичу - PCC.
      Позволяет разделить трафик на несколько потоков, причем равномерно.
      Очень полезно для overload NAT-а кучи сеток через несколько внешних адресов, например
      /ip firewall mangle add action=mark-connection chain=prerouting new-connection-mark=nat-1 passthrough=yes per-connection-classifier=src-address:8/0 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-2 passthrough=yes per-connection-classifier=src-address:8/1 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-3 passthrough=yes per-connection-classifier=src-address:8/2 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-4 passthrough=yes per-connection-classifier=src-address:8/3 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-5 passthrough=yes per-connection-classifier=src-address:8/4 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-6 passthrough=yes per-connection-classifier=src-address:8/5 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-7 passthrough=yes per-connection-classifier=src-address:8/6 \     src-address=10.100.0.0/16 add action=mark-connection chain=prerouting new-connection-mark=nat-8 passthrough=yes per-connection-classifier=src-address:8/7 \     src-address=10.100.0.0/16 /ip firewall nat add action=src-nat chain=srcnat connection-mark=nat-1 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-2 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-3 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-4 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-5 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-6 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-7 out-interface=vlan452 to-addresses=194.44.166.xxx add action=src-nat chain=srcnat connection-mark=nat-8 out-interface=vlan452 to-addresses=194.44.166.xxx Есть вопрос - а как реализовать такой же рулсет с помощью iptables?
       
       
×