Re[6]: ip_conntrack: table full, dropping packet.
On Tue, 3 Feb 2004, Łukasz Woźniak wrote: > > 3 lutego 2004, 14:13:54, Arkadiusz Chomicki napisal: > > AC> On Tue, 3 Feb 2004, Roman Kolasiewicz wrote: > > >> Witam, > >> > >> Monday, February 2, 2004, 11:47:54 PM, Arkadiusz Chomicki wrote: > AC> to pytanie dodatkowe > AC> jak dam -s 192.168.0.2 to b edzie sie to tyczylo pakietow ze zrodlowy > AC> adresm 192.168.0.2? > tak > AC> bo niewiem do czego jest --connlimit-mask >jest dla ulatwiania zycia :) > > -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 1024:65535 > --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 50 --connlimit-mask 32 > -j REJECT --reject-with icmp-port-unreachable > > -s daje cala siec 192.168.0.0/24 i gdyby nie connlimit-mask to dla tej > calej sieci byloby 50 polaczen ale connlimit-mask 32 "rozdiela to per > host bo maska 32=255.255.255.255" czyli ogranicza do 50 polaczen per > host na porty powyzej 1024 > dzieki na taka odpowiedz czekalem > AC> Pozdrawiam > AC> ChomAr > > > > Pozdrawiam ChomAr -- +-=| Arkadiusz Chomicki |=-+ 84-120 Władysławowo GG#: 420515 woj. pomorskie e-mail:chomar(at)wla(dot)pl Registered User: 82605 http://www.chomar.wla.pl http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=82605 +--+ _ http://pld-linux.org/ = faq, howto, newsy dostales tutaj odpowiedz na swoje pytanie? podziel sie z innymi i dopisz do FAQ! http://pld-linux.org/FAQ/
Re[6]: ip_conntrack: table full, dropping packet.
On Tue, 3 Feb 2004, Roman Kolasiewicz wrote: > Witam, > > Tuesday, February 3, 2004, 2:13:54 PM, Arkadiusz Chomicki wrote: > > > to pytanie dodatkowe > > jak dam -s 192.168.0.2 to b edzie sie to tyczylo pakietow ze zrodlowy > > adresm 192.168.0.2? > Tak. > > > bo niewiem do czego jest --connlimit-mask > Mozesz nalozyc to na grupe komputerow ograniczajac ja maska sieciowa > (tzn ze wszystkie komputery z tej grupy nie beda mogly otworzyc wiecej > niz podana liczba polaczen) tak to w kazdym razie wyglada na moj > chlopski rozum, niestety nie uzywalem tego wiec nie jestem na 100% > pewien. skoro -s 192.168.0.2 daje limit na hosr 192.168.0.2 to mozna podac tak samo -s192.168.0.2/24 i da na podsiec 192.168.0.2/24 a wiec po jakiego jest opcja --connlimit-mask pozdrawiam ChomAr -- +-=| Arkadiusz Chomicki |=-+ 84-120 Władysławowo GG#: 420515 woj. pomorskie e-mail:chomar(at)wla(dot)pl Registered User: 82605 http://www.chomar.wla.pl http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=82605 +--+ _ http://pld-linux.org/ = faq, howto, newsy dostales tutaj odpowiedz na swoje pytanie? podziel sie z innymi i dopisz do FAQ! http://pld-linux.org/FAQ/
Re[6]: ip_conntrack: table full, dropping packet.
3 lutego 2004, 14:13:54, Arkadiusz Chomicki napisal: AC> On Tue, 3 Feb 2004, Roman Kolasiewicz wrote: >> Witam, >> >> Monday, February 2, 2004, 11:47:54 PM, Arkadiusz Chomicki wrote: AC> to pytanie dodatkowe AC> jak dam -s 192.168.0.2 to b edzie sie to tyczylo pakietow ze zrodlowy AC> adresm 192.168.0.2? tak AC> bo niewiem do czego jest --connlimit-mask jest dla ulatwiania zycia :) -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 50 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable -s daje cala siec 192.168.0.0/24 i gdyby nie connlimit-mask to dla tej calej sieci byloby 50 polaczen ale connlimit-mask 32 "rozdiela to per host bo maska 32=255.255.255.255" czyli ogranicza do 50 polaczen per host na porty powyzej 1024 AC> Pozdrawiam AC> ChomAr -- Pozdrowienia, Łukasz Woźniak [EMAIL PROTECTED] _ http://pld-linux.org/ = faq, howto, newsy dostales tutaj odpowiedz na swoje pytanie? podziel sie z innymi i dopisz do FAQ! http://pld-linux.org/FAQ/
Re[6]: ip_conntrack: table full, dropping packet.
Witam, Tuesday, February 3, 2004, 2:13:54 PM, Arkadiusz Chomicki wrote: > to pytanie dodatkowe > jak dam -s 192.168.0.2 to b edzie sie to tyczylo pakietow ze zrodlowy > adresm 192.168.0.2? Tak. > bo niewiem do czego jest --connlimit-mask Mozesz nalozyc to na grupe komputerow ograniczajac ja maska sieciowa (tzn ze wszystkie komputery z tej grupy nie beda mogly otworzyc wiecej niz podana liczba polaczen) tak to w kazdym razie wyglada na moj chlopski rozum, niestety nie uzywalem tego wiec nie jestem na 100% pewien. >> Nie rozumiem jak to sie ma do connlimit/iplimit > myslalem ze to pach patch-o-matic dodaje to Dodaje, ale chyba nie p-o-m z CVS'u jak mniemam > chodza lsuchy ze ipconntract zzera pamiec ile sie tylko da Nie wiem - z iplimit nie mam zadnych problemow, ale mysle ze warto najpierw sprobowac, niz wierzyc w chodzace sluchy :) > wyjscie z tego jest nalozenie laty patch-o-matic Sprawdz w SPEC'u jakie laty sa nalozone na dystrybucyjne iptables, wielce prawdopodobne, ze te latki juz w nim sa. -- Best regards, Roman _ http://pld-linux.org/ = faq, howto, newsy dostales tutaj odpowiedz na swoje pytanie? podziel sie z innymi i dopisz do FAQ! http://pld-linux.org/FAQ/
