Небесный 26 Опубликовано: 2010-07-01 06:54:49 Share Опубликовано: 2010-07-01 06:54:49 Суть такова в скрипте OnConnect добавляю правила: iptables -t filter -I INPUT -s $ip -j QUEUE iptables -t filter -I FORWARD -s $ip -j QUEUE iptables -t filter -I FORWARD -d $ip -j QUEUE iptables -t filter -I OUTPUT -d $ip -j QUEUE Никаких как бы жалоб, пока не заметил некоторое. Этими фильтрами я перекриваю все фильтра дропов портов, которые я создал в iptables. Например, закриваю 25 порт. iptables -I FORWARD 1 -p tcp --dport 25 -j DROP iptables -I FORWARD 1 -p tcp --sport 25 -j DROP Юзер подключается и ему пофик мои дропы по портам. Как вычитал я об QUEUE, получается что: Пакеты после действия queue обратно в цепочки не возвращаются, в итоге все зафильтрованые порты остаются открыты. Что посоветуете? Ссылка на сообщение Поделиться на других сайтах
gelmas_x 11 Опубліковано: 2010-07-01 07:47:03 Share Опубліковано: 2010-07-01 07:47:03 http://www.opennet.ru/docs/RUS/iptables/ Ссылка на сообщение Поделиться на других сайтах
gelmas_x 11 Опубліковано: 2010-07-01 07:50:06 Share Опубліковано: 2010-07-01 07:50:06 попробуй вместо -I поставь -A iptables -t filter -A INPUT -s $ip -j QUEUE iptables -t filter -A FORWARD -s $ip -j QUEUE iptables -t filter -A FORWARD -d $ip -j QUEUE iptables -t filter -A OUTPUT -d $ip -j QUEUE Ссылка на сообщение Поделиться на других сайтах
Небесный 26 Опубліковано: 2010-07-01 08:00:31 Автор Share Опубліковано: 2010-07-01 08:00:31 Ага, спасибо. Уже сменил, обращал внимание на это вчера. Ссылка на сообщение Поделиться на других сайтах
Небесный 26 Опубліковано: 2010-11-06 08:40:56 Автор Share Опубліковано: 2010-11-06 08:40:56 Ребята, подскажите как убрать из шейпа пакеты ICMP Шейр работает таким вот образом: iptables -t mangle -A FORWARD -d $IP -j MARK --set-mark $mark iptables -t mangle -A FORWARD -s $IP -j MARK --set-mark $mark1 #Download ########################################################################################## # INET tc class add dev $int_iface_down parent 1:1 classid 1:$mark htb rate $speedkb tc filter add dev $int_iface_down parent 1: protocol ip prio 3 handle $mark fw classid 1:$mark #Upload ################################## # INET tc class add dev $int_iface_up parent 1:1 classid 1:$mark1 htb rate $speedkb tc filter add dev $int_iface_up parent 1: protocol ip prio 3 handle $mark1 fw classid 1:$mark1 ########################################################################################### Как я вычитал можно просто при маркировке изключить эти пакеты таким вот образом -p ! icmp И того маркировка будет выглядеть вот так. iptables -t mangle -A FORWARD -p ! icmp -d $IP -j MARK --set-mark $mark Чего спрашиваю, пока нету где это все попробовать, а особо не хочется на рабочем серваке играться. Благодарю за подсказки. Ссылка на сообщение Поделиться на других сайтах
onorua 126 Опубліковано: 2010-11-06 08:52:36 Share Опубліковано: 2010-11-06 08:52:36 Ребята, подскажите как убрать из шейпа пакеты ICMP Как я вычитал можно просто при маркировке изключить эти пакеты таким вот образом -p ! icmp И того маркировка будет выглядеть вот так. iptables -t mangle -A FORWARD -p ! icmp -d $IP -j MARK --set-mark $mark Чего спрашиваю, пока нету где это все попробовать, а особо не хочется на рабочем серваке играться. Благодарю за подсказки. только правильнее было бы iptables -t mangle -A FORWARD ! -p icmp -d $IP -j MARK --set-mark $mark так как -p ! icmp уже DEPRECATED но вообще да - правильно. Ссылка на сообщение Поделиться на других сайтах
Небесный 26 Опубліковано: 2010-11-06 09:01:07 Автор Share Опубліковано: 2010-11-06 09:01:07 только правильнее было бы iptables -t mangle -A FORWARD ! -p icmp -d $IP -j MARK --set-mark $mark так как -p ! icmp уже DEPRECATED но вообще да - правильно. Эм, ну а как будет более правильно? То, что это запись без ошибок это одно, я чесно говоря и сам почти в этом был уверен, а вот как будет более технически и правильнее, шо-то с этим ICMP сделать. Ссылка на сообщение Поделиться на других сайтах
onorua 126 Опубліковано: 2010-11-06 14:54:26 Share Опубліковано: 2010-11-06 14:54:26 только правильнее было бы iptables -t mangle -A FORWARD ! -p icmp -d $IP -j MARK --set-mark $mark так как -p ! icmp уже DEPRECATED но вообще да - правильно. Эм, ну а как будет более правильно? То, что это запись без ошибок это одно, я чесно говоря и сам почти в этом был уверен, а вот как будет более технически и правильнее, шо-то с этим ICMP сделать. ну если ты хочешь чтоб в этот фильтр попадало все кроме icmp - это технически правильно. Ссылка на сообщение Поделиться на других сайтах
Небесный 26 Опубліковано: 2010-11-06 16:36:45 Автор Share Опубліковано: 2010-11-06 16:36:45 Благодарю! Уже сменил правила. Попробовал себе поставить 128кб, загрузил под потолок эти 128 кб - и попробовал пинговать что-то, пинги проходять хорошо. А, раньше - если загружаешь полностью свою полосу, пинги росли аж 2 сек, ну и понятно почему. ))) Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас