Iptables&Traffic Shaper

Debian GNU/Linux

Iptables&Traffic Shaper

  • 615 megtekintés

( AndrewBoy | 2006. 02. 02., cs – 09:03 )

5 gépes hálózaton én nem dhcpznék, akkor már sokkal egyszerűbb a fix IP cím.

Külső védelem gyanánt letilthatnál mindent, aztán amit szeretnél azt külön engedélyezel.

Ugyanez a belső oldalon is, iphez meg meg tudod adni hogy portra is tiltson vagy akár teljes ip címet, fejből most nem megy, de este villantok egykét ötletet.

trafix shapert én még nem csináltam, majd okosabb ember nyilatkozik ezügyben.

( master000 | 2006. 02. 02., cs – 10:00 )

Hi!
traffic shaper nem bonyas, a file nev kotott, valahogy igy kell kineznie:
a sorszamok novekvoek legyenek, azonosak nem lehetnek...
cbq-sorszam.info
konkretabban: cbq.1-net_fele

tartalma az valami ilyesmi:
DEVICE=eth0,10Mbit,1Mbit
RATE=512Kbit
WEIGHT=51Kbit
PRIO=5
RULE=0/0,192.168.0.1/32

igy ugye erre az IP-re a letoltesed 512 kbit lesz
mivel egy interface-nek csak a kimenojet tudod korlatozni, ezert valami hasonlo shaper file kell majd egy masik interface-re is, ahol a kimenojet korlatozod...

remelem erthetoen siekrult fogalmaznom

( Celtic v | 2006. 02. 02., cs – 10:19 )

Kosz, mar egy honapja meg akarom cisnalni otthon, csak sosincs ra idom...

[quote:176b1e950b="master000"]Hi!
traffic shaper nem bonyas, a file nev kotott, valahogy igy kell kineznie:
a sorszamok novekvoek legyenek, azonosak nem lehetnek...

( grebnyev | 2006. 01. 19., cs – 11:44 )

Már jó ideje keresgélek a neten de nem találok egy normális iptables szkriptet se.csak szabályokat amiket más leszól...
Szeretnék egy f@sza tűzfalat összerakni de nem tudom mit hogyan kéne..
Van egy P4 1700Mhz gépem 512Mb memóriával és 2 realteck 100mbps hálókártyával amin van egy Debian Sarge 2.6.8.2
Ugyanezen a gépen futnak : squid,courier-pop,postfix,dhcp3-server,mysql,apache,ssh...
Ezzel a géppel osztok meg egy adsl netet 5 windózos gépre.
Most ez a szkript fut tűzfalként :
#!/bin/sh
#
LAN_IP="10.0.0.1"
LAN_IFACE="eth1"
LAN_IP_RANGE="10.0.0.0/24"
LO_IFACE="lo"
LO_IP="127.0.0.1"
INET_IFACE="ppp0"
DHCP_SERVER="10.0.0.1"
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A INPUT -p tcp --dport 3128 -s 10.0.0.0/24 -j ACCEPT
iptables -A PREROUTING -t nat -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo " ###################"
#
A dhcp szervert úgy állítottam be hogy mindegyik gépnek állandó IPje van.
Az a legyik probléma hogy így bárki tudja használni a netet aki rádugja a gépét a hálóra.
Ezt szeretném elkerülni pl mac szintü védelemmel ( -m mac --mac-sorce xx:xx:xx.xx:xx:xx) vagy ha van esetleg komolyabb megoldás , mert a mac címet könnyü hamisítani...
Másrészt nagyon örülnék ha valaki elmagyarázná pontosan hogyan kell beállítani a traffic shapert , mert az 5 gép közül valaki felmegy a dc re akkor a többi gépnél valami katasztrófális a net sebesség.
Azoknak az embereknek a segíttségét kérem akik tapasztaltak ebben a témában, és lécci ne linkeket meg hülyeségeket írjatok.
Köszi!