Вопрос актуальный.
Тоже хочу узнать как ограничить количество TCP сессий может кто нибудь подскажет?
Какое максимальное значение одновременных NAT сессий в ASUS WL-500g,Premium ver.2?
Вопрос актуальный.
Тоже хочу узнать как ограничить количество TCP сессий может кто нибудь подскажет?
вот это может помочь
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Есть модем, который поднимает PPPoE соединение и роутер wl500g v2, который используется для QoS (к сожалению поднять ppp непосредственно на роутере нет возможности). Проблема в том, что максимально возможное количество записей в ip_conntrack для ADSL модема значительно меньше требуемого количества. Новый uTorrent задействует UDP протокол, в результате файл ip_conntrack быстро переполняется и старые сессии начинают разрываться (например, вылетает icq).
Одно время проблема решалась ограничением с помощью iptables количества tcp соединений на один IP, и полным запретом UDP трафика. Но пришло время исправлять старые "ошибки". Подскажите как ограничить суммарное количество записей TCP и UDP записей в таблице ip_conntrack для одного IP на роутере?
Last edited by featZima; 09-03-2010 at 12:43.
Я думаю, классический способ таков:
Только вот модуля connlimit может не оказаться на роутере. К тому же, время жизни соединений может отличаться на модеме и на роутере. И ещё тут не учитываются возможные входящие соединения.Code:iptables -I FORWARD 1 -o vlan1 -m state --state NEW,RELATED -m connlimit --connlimit-above 128 -j DROP
А если не секрет, что за причина не позволяет поднять pppoe на роутере?
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
у меня нет физического доступа к помещению где стоит модем + так получилось что модем стоит за роутером TL-R402M, а в нём нет режима бриджа)А если не секрет, что за причина не позволяет поднять pppoe на роутере?
Я пытаюсь понять сам, но пока не сильно получается... Команда, которую вы предложили работает только в сочетании с параметром -p tcp, то есть вот так
без указания протокола, или с указанием -p udp — пишем о неправильных аргументах... и это настораживает...Code:iptables -A FORWARD -p tcp udp -m state --state NEW,RELATED -m connlimit --connlimit-above 100 -j DROP
- получается что модуль connlimit есть, так как работает для tcp
- согласно Iptable Howto, и tcp и udp для трасировщика имеют состояние NEW
p.s. насколько я понял connlimit не работает с udp протоколом, а в этом вся и загвоздка... получается что логического соединения как бы нет, но запись в ip_conntrack создаётся)
Last edited by featZima; 11-03-2010 at 01:36.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.