The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Знакомство с iptables и iproute2.

29.08.2005 21:58

Andrejs Spunitis представил статью, в которой привет краткий обзор и пример использования пакетов iptables и iproute2 под Fedora Core 3 Linux с ядром 2.6.12.5.

Также опубликована статья с описанием шагов по установке ПО для NAT сервера и HOWTO по конфигурации и установке минимального ядра 2.6.12 на Fedora Core 2 и FC-3.

  1. Главная ссылка к новости (http://www.dzti.edu.lv/links/I...)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Ключевые слова: linux, nat, iptables, iproute2, kernel, fedora
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Halyva (ok), 22:53, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Важно отметить что с помощью iptables нельзя ограничивать скорость трафика, этой задачей занимается iproute2." Это с каких пор?
     
  • 1.2, Romik (??), 23:11, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мдя? Это через --limit что-ли? :)
     
  • 1.3, Halyva (ok), 23:30, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    # защита от провайдерства интернета
    $ipt -A INPUT -i eth1 -m ttl --ttl-lt 128 -j DROP
    $ipt -A INPUT -i eth1 -m ttl --ttl-gt 128 -j DROP
    Это что то тоже не то. Ну по крайней мере не защита от провайдинга инета.
     
     
  • 2.7, Andrejs Spunitis (?), 09:38, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    немного смешно, но так как дело в общаге, это помогает на первых порах.

     

  • 1.4, Romik (??), 23:34, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну это грубая очень, но защита...
    Любой нормальный студент с ВМК поймет, как такую защиту обойти: просто TTL на всех пакетах принудительно в 128 ставить.
     
  • 1.5, Halyva (ok), 23:41, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да блин до любого места в инете можно дойти не пройдя менее 128 маршрутизаторов это во первых, а во вторых если один субпровайдер не сможет поставить свой шлюх то и пользователь не до всех сайтов достучаться сможет :)
     
  • 1.6, test (??), 01:13, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >$ipt -A INPUT -i eth1 -m ttl --ttl-lt 128 -j DROP
    >$ipt -A INPUT -i eth1 -m ttl --ttl-gt 128 -j DROP

    а если у меня Linux-клиент?
    Вы хотите сказать, что мне нужно будет себе ttl 128 ставить?
    Ну уж нет... увольте.
    Зафлужу нахер такой шлюз. Да и ещё DDoS устрою ;-)

     
  • 1.8, edwin (ok), 11:34, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Знаете господа.
    Я никогда не понимал смысла борьбы с субпровайдингом.
    Трафик товарисчу считается, то есть сколько скачал за то и заплатит.
    Шейпы стоят.
    Ну и пусть и творит в этих рамках что хочет.
    Хоть прячет за собой сетку класса А.;))
     
     
  • 2.9, Andrejs (?), 11:58, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Смысл еще какой есть, например студентам лимитированная плата. Они ставят себе шаринг и весело используют инет на несколько компов, при этом усиленно нагружая сетку. Одним из способом борьбы является ограничение сессий с одного IP а также разграничение скорости по IP адресам (для этого и пришлось пересобирать ядро и iproute2  с поддержкой ESFQ)
     
     
  • 3.10, Бандахамовата (?), 12:16, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    количество машин и у Стрима нет претензий.

    Микробная пыль ("провайдеры"!), которая ограничивает шаринг на безлимитных тарифах обязана издохнуть. Приду поссать на могилку.

     
  • 2.13, Antonio (??), 13:41, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > Я никогда не понимал смысла борьбы с субпровайдингом.
    > Трафик товарисчу считается, то есть сколько скачал за то и заплатит.

    Тут -- без проблем.
    А на безлимитке?

    Два честных безлимитчика приносят провайдеру (условно) по 10 уе в месяц. Итого 20.
    "Субпровайдер" с сидящим на нём деятелем -- 10 уе за двоих. Итого 10.

    Шейпер-не шейпер, толку ноль. И на 1 Кбайт/с будут качать и не жужжать (ибо халява). Вон, до сих пор люди извращаются с 59-секундными модемными сессиями у провайдеров, дающих первую минуту нахаляву.

     
     
  • 3.25, bmc (??), 09:28, 27/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я никогда не понимал смысла борьбы с субпровайдингом.
    >> Трафик товарисчу считается, то есть сколько скачал за то и заплатит.
    >
    >Тут -- без проблем.
    >А на безлимитке?
    >
    >Два честных безлимитчика приносят провайдеру (условно) по 10 уе в месяц. Итого
    >20.
    >"Субпровайдер" с сидящим на нём деятелем -- 10 уе за двоих. Итого
    >10.
    >
    >Шейпер-не шейпер, толку ноль. И на 1 Кбайт/с будут качать и не
    >жужжать (ибо халява). Вон, до сих пор люди извращаются с 59-секундными
    >модемными сессиями у провайдеров, дающих первую минуту нахаляву.

    Интересный способ боротся с социальным явлением техническими способами ;) А может просто убрать безлимитку и посчитать таки сколько примерно мегабайт выходит? ;)))

     

  • 1.11, edwin (ok), 12:30, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >также разграничение скорости по IP адресам
    Те же шейпы.
     
  • 1.12, edwin (ok), 12:32, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Микробная пыль ("провайдеры"!),

    Как грозно.Ты вообще кто такой, чтобы гнать на провайдеров ?

    > которая ограничивает шаринг на безлимитных тарифах обязана издохнуть.

    Скажи спасибо им за то, что они предоставляют тебе сервис в наших условиях.

    > Приду поссать на могилку.

    Твою.
    Тока плюнуть.

     
  • 1.15, Аноним (15), 22:38, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    re Скажи спасибо им за то, что они предоставляют тебе сервис в наших условиях.

    паразитов "посредников-провайдеров" всегда давили
    и давить будут пользуются мАментом
    пока пользуются ...

     
  • 1.16, аноним (?), 05:26, 31/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нда... как всё запущено, господа линуксоиды.
     
  • 1.17, Leo (??), 20:54, 01/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Андрей - сама статья довольно занимательна , хотя существуют более простые способы приоретизации и разделения трафика . Проблема лишь в том что у тебя либо сервак слабоват для данного набора софта , либо ты людей зарезал как мог - благо знаю несколько человек с той общаги - которую ты админишь , и скорость у них там сказка - никаких пиринговых клиентов не запущено , а странички даже по Латвии грузятся по 3 минуты , ИЕ - не грузит вообще , Опера - с горем пополам - вот именно по 3 минуты , про пинг куда либо умолчу , так что с такими зарезками как у тебя далеко не уедешь , обидно за студентов однако - им за учёбу плати , за пайку и т.д. - да и за инет ещё по 3 Лс - за такие деньги в Риге можно поставить нормальный инет - вот только в вашей общаге это не поставишь . Да и насчёт количества компов во внутренней сетке - в принцепе здесь - в ЛВ ни один из провайдеров не запрещает делать внутренние сети - так как канал на каждого клиента лимитирован по скорости Уп/Довн . Вот и интересно - вроде люди платят за инет - а на самом деле его нет ...
     
     
  • 2.18, Andrejs Spunitis (?), 08:47, 02/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Если знаешь то кинь ссылки на то как полегче с общагой проблему решить Просто... текст свёрнут, показать
     
  • 2.19, Andrejs Spunitis (?), 09:24, 02/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Да и насчёт количества компов во внутренней сетке - в принцепе здесь - в ЛВ ни один из провайдеров не запрещает делать внутренние сети
    ----------
    У моей мамы инет CitiNet ... за провайдерство далее штраф
    Сам сижу у RedNet ... тоже при подключение сказали что бы не был провайдером...
    ----------

    3 мин тормозил инет.... и не только в общаге, но и у нас в институте,
    теперь кажется эта проблема частично решена.....  путем закрытия UDP.

    Последние кажется 10 дней мне на e-mail не приходоли жалобы от студентов,
    (жалоба состоит из времени, сайта, времени сколько грузиласт страница, скоростьи интернета измеренного через net.apollo.lv).

     

  • 1.20, Leo (??), 15:54, 02/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Провайдер провайдеру рознь , как делают пацаны в общаге - эт одно , а когда субпровайдинг в крупных размерах да и ещё с абонентом другое . Насчёт канала общего и притормаживаний - ты как админ мог-бы поднять данный вопрос с латнетом - чтоб объяснили причину заторможенности нета . А нет.аполло.лв в принцепе не показатель - тестил свою скорость на нём - так показывает вообще заниженую . Так как с того-же тимес.лв скорость 8 мбс , а на нет.аполло выдаёт 3 мбс максимум . На мануалы посылать тебя не стану , смысла нет - сам ты разбераешься не плохо , просто надо найти оптимальный конфиг тогдауж - динамически разделяемые каналы на клиентов - в зависимости от производимых действий в интернете на данный момент - так как делают многие провайдеры - у них ведь тоже не 1000 мбс сети , а имея пару тысяч клиентов  канал всё равно выдают не меньше 1-2 мбс .
     
     
  • 2.21, Andrejs Spunitis (?), 18:46, 02/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    C Latnet помниться чуть более года назад у них 30% пакетов пропадало....

    Конечно я звонил им, показывал свои конфиги.... пару раз можно дозвонится до их тех-персонала, после чего тот начинает активно обедать или куда то выезжает по делам....

    net.apollo.lv тогда у меня показывает завышенную:)

    А по поводу динамических каналов, разве та конфигурация не есть динамические каналы? Ведь общая полоса разделяется по IP плюс еще разделение по приоритетам на HTTP протокол и Р2Р ....


     

  • 1.22, mahorosan (?), 02:01, 07/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жаль, что когда мне приходилось разбираться в этом, такой статьи не было под рукой.
    QuickStart замечательный, основная логика, примеры, ссылки - все есть
    5+!
     
  • 1.23, o0oxid (ok), 11:55, 08/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот еще небольшая неточность.
    ip_forward -  This variable is special, its change -= resets all configuration parameters =- to their default state (RFC1122 for hosts, RFC1812 for routers)
    У автора стоит имзенение этого параметра почему-то в конце скрипта, .т.е. все настройки /proc/sys/net/ipv4/ сбросятся в дефолт, надо бы эту команду переместить в самое начало скрипта.
     
     
  • 2.24, Andrejs Spunitis (?), 09:38, 09/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо!

    на практике мне кажется нет разницы в конце или в начале,
    а в конце перенес потому что хотел разрешить форвардинг
    только после того как правила будут записаны.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру