URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3888
[ Назад ]

Исходное сообщение
"ограничение количества tcp-сессий средствами ipfw"

Отправлено white_skY , 18-Июл-08 13:43 
Столкнулся с необходимостью с ограничением количества tcp сессий.

даю
ipfw add 50 allow tcp from 192.168.1.0/24 to any keep-state limit src-addr 40

вответ мат:
ipfw: only one of keep-state andlimit is allowed

Подскажите,кто сталкивался, в чем борода?


Содержание

Сообщения в этом обсуждении
"ограничение количества tcp-сессий средствами ipfw"
Отправлено Vitaly_loki , 18-Июл-08 14:00 
>Столкнулся с необходимостью с ограничением количества tcp сессий.
>
>даю
>ipfw add 50 allow tcp from 192.168.1.0/24 to any keep-state limit src-addr
>40
>
>вответ мат:
>ipfw: only one of keep-state andlimit is allowed
>
>Подскажите,кто сталкивался, в чем борода?

Если наружу, то лучше через natd это делать


"ограничение количества tcp-сессий средствами ipfw"
Отправлено white_skY , 18-Июл-08 14:04 
>[оверквотинг удален]
>>даю
>>ipfw add 50 allow tcp from 192.168.1.0/24 to any keep-state limit src-addr
>>40
>>
>>вответ мат:
>>ipfw: only one of keep-state andlimit is allowed
>>
>>Подскажите,кто сталкивался, в чем борода?
>
>Если наружу, то лучше через natd это делать

Ткни пальцем как это провернуть? В мане не нашел про это :(


"ограничение количества tcp-сессий средствами ipfw"
Отправлено ПитерПен , 18-Июл-08 15:54 
>Столкнулся с необходимостью с ограничением количества tcp сессий.
>
>даю
>ipfw add 50 allow tcp from 192.168.1.0/24 to any keep-state limit src-addr
>40
>
>вответ мат:
>ipfw: only one of keep-state andlimit is allowed
>
>Подскажите,кто сталкивался, в чем борода?

А если так

ipfw add 50 allow tcp from 192.168.1.0/24 to any setup limit src-addr 40


"ограничение количества tcp-сессий средствами ipfw"
Отправлено white_skY , 21-Июл-08 07:47 
>[оверквотинг удален]
>>
>>вответ мат:
>>ipfw: only one of keep-state andlimit is allowed
>>
>>Подскажите,кто сталкивался, в чем борода?
>
>А если так
>
>ipfw add 50 allow tcp from 192.168.1.0/24 to any setup limit src-addr
>40

не проходит вообще ничего :( идут дропы при попытке сайт открыть из одного даже окошка

ipfw -d show
00010   341506    29020372 deny ip from any to any dst-port 135-139,445
00050       10         480 allow tcp from 192.168.1.0/24 to any setup limit src-addr 40
10100   148119    18349040 divert 8868 ip from 192.168.1.0/24 to any out xmit vlan1
10101   669319   416848564 divert 8868 ip from any to 78.140.46.166
65535 76948782 55482381153 allow ip from any to any

## Dynamic rules (3):
00050        0           0 (2s) PARENT 2 tcp 192.168.1.2 0 <-> 0.0.0.0 0
00050        3         144 (20s) LIMIT tcp 192.168.1.2 1208 <-> 204.152.191.37 80
00050        5         240 (5s) LIMIT tcp 192.168.1.2 1207 <-> 204.152.191.5 80


"ограничение количества tcp-сессий средствами ipfw"
Отправлено ПитерПен , 21-Июл-08 20:45 
>[оверквотинг удален]
>00010   341506    29020372 deny ip from any
>to any dst-port 135-139,445
>00050       10    
>    480 allow tcp from 192.168.1.0/24 to any
>setup limit src-addr 40
>10100   148119    18349040 divert 8868 ip from
>192.168.1.0/24 to any out xmit vlan1
>10101   669319   416848564 divert 8868 ip from any
>to 78.140.46.166
>65535 76948782 55482381153 allow ip from any to any

А почему ограничевать пытаетесь ДО диверта? Попробуйте после