Здравствуйте, гость ( Вход | Регистрация )



 
Ответить в данную темуНачать новую тему
> Время жизни сессии
terset
сообщение 21.8.2008, 10:06
Сообщение #1


Бит
*

Группа: Пользователи
Сообщений: 3
Регистрация: 21.8.2008
Пользователь №: 5247
Спасибо сказали: 0 раз




сетевые intel mt
есть микротик 2.9.27
интерфейс внутренний и внешний
поднят ip proxy
правила:
chain=sanity-check protocol=tcp connection-limit=20,32 src-address-list=DoS_black_list action=tarpit comment="suppress DoS attack" disabled=no
chain=sanity-check protocol=tcp connection-limit=30,32 action= add-src-to-address-list address-list=DoS_black_list address-list-timeout=1d comment="detect DoS attack" disabled=no
для ограничения количества сессий.
НО - как только начинает правило работать начинаются жуткие тормоза загрузки страниц и отвалы по таймаутам. канал огромный. При отключении правила - все грузится влет, но коннектов одновременных - много. Мое предположение - долго висят коннекты. Может в этом дело? как победить?
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
Zhelezaka
сообщение 21.8.2008, 20:07
Сообщение #2


Терабит
*****

Группа: Главные администраторы
Сообщений: 5331
Регистрация: 2.12.2005
Пользователь №: 7
Спасибо сказали: 405 раз




X ;;; limit connections
chain=forward src-address=11.10.20.101 protocol=tcp dst-port=0-65535
tcp-flags=syn connection-limit=3,32 connection-state=new action=drop

X chain=forward src-address=11.10.20.101 protocol=tcp src-port=0-65535
tcp-flags=syn connection-limit=2,32 action=accept

У меня так сесси ограничиваются smile.gif


--------------------
Профессионал - тот же дилетант, только знающий, где ошибается.
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
terset
сообщение 22.8.2008, 10:44
Сообщение #3


Бит
*

Группа: Пользователи
Сообщений: 3
Регистрация: 21.8.2008
Пользователь №: 5247
Спасибо сказали: 0 раз




Цитата(Zhelezaka @ 21.8.2008, 21:07) *
X ;;; limit connections
chain=forward src-address=11.10.20.101 protocol=tcp dst-port=0-65535
tcp-flags=syn connection-limit=3,32 connection-state=new action=drop

X chain=forward src-address=11.10.20.101 protocol=tcp src-port=0-65535
tcp-flags=syn connection-limit=2,32 action=accept

У меня так сесси ограничиваются smile.gif

поскольку вижу, что у тебя они не активны, предлагаю активировать и попробовать следующее - открыть одновременно, к примеру яндекс, маилру, рбк... у maxon - группы!
у меня - недогрузка страниц при таких правилах.
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
Zhelezaka
сообщение 22.8.2008, 12:48
Сообщение #4


Терабит
*****

Группа: Главные администраторы
Сообщений: 5331
Регистрация: 2.12.2005
Пользователь №: 7
Спасибо сказали: 405 раз




Но эти правила я отключил, т.к. нет необходимости в них, но что сессии ограничиваются - проверено...
А что ты собственно хочешь??? Три + две сессии и точка...
И качать только в три потока смогут...
Поставь как у тебя connection-limit=20,32 и будут у тебя одновременно и яндэкс и маилру открываться ))


--------------------
Профессионал - тот же дилетант, только знающий, где ошибается.
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
terset
сообщение 25.8.2008, 8:57
Сообщение #5


Бит
*

Группа: Пользователи
Сообщений: 3
Регистрация: 21.8.2008
Пользователь №: 5247
Спасибо сказали: 0 раз




Цитата(Zhelezaka @ 22.8.2008, 13:48) *
Но эти правила я отключил, т.к. нет необходимости в них, но что сессии ограничиваются - проверено...
А что ты собственно хочешь??? Три + две сессии и точка...
И качать только в три потока смогут...
Поставь как у тебя connection-limit=20,32 и будут у тебя одновременно и яндэкс и маилру открываться ))

именно так и поступил
правда не понял, почему tarpit не заработал...
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
TenBlemm
сообщение 25.8.2008, 15:08
Сообщение #6


Байт
**

Группа: Пользователи
Сообщений: 15
Регистрация: 24.8.2008
Пользователь №: 5282
Спасибо сказали: 0 раз




Цитата(terset @ 21.8.2008, 8:06) *
сетевые intel mt
есть микротик 2.9.27
интерфейс внутренний и внешний
поднят ip proxy
правила:
chain=sanity-check protocol=tcp connection-limit=20,32 src-address-list=DoS_black_list action=tarpit comment="suppress DoS attack" disabled=no
chain=sanity-check protocol=tcp connection-limit=30,32 action= add-src-to-address-list address-list=DoS_black_list address-list-timeout=1d comment="detect DoS attack" disabled=no
для ограничения количества сессий.
НО - как только начинает правило работать начинаются жуткие тормоза загрузки страниц и отвалы по таймаутам. канал огромный. При отключении правила - все грузится влет, но коннектов одновременных - много. Мое предположение - долго висят коннекты. Может в этом дело? как победить?


1) Попробуйте отключить ненужные коннекты командой Enabled/no.
Если нужно восстановить по умолчанию , то подключите нужный коннект мануально.


--------------------
TenBemm ;)
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
Zhelezaka
сообщение 26.8.2008, 1:35
Сообщение #7


Терабит
*****

Группа: Главные администраторы
Сообщений: 5331
Регистрация: 2.12.2005
Пользователь №: 7
Спасибо сказали: 405 раз




Цитата(TenBlemm @ 25.8.2008, 13:08) *
1) Попробуйте отключить ненужные коннекты командой Enabled/no.
Если нужно восстановить по умолчанию , то подключите нужный коннект мануально.


blink.gif Это про что????


--------------------
Профессионал - тот же дилетант, только знающий, где ошибается.
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение

Быстрый ответОтветить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последнее сообщени
Нет новых сообщений Explay L15 4gb помогите вернуть к жизни
зависал экран, затем перестал определять как внешнее usb устройство
1 mindal 3077 16.4.2013, 0:01
Посл. сообщение: Zhelezaka
Нет новых сообщений Заикаинием звука во время перехода с 23:59 на 0:00
4 MrGreenRu 2862 14.6.2011, 9:29
Посл. сообщение: Zhelezaka
Нет новых сообщений A-800 умер через время после прошивки
1 beef 1929 24.7.2007, 8:14
Посл. сообщение: Alex


 



RSS Текстовая версия Сейчас: 19.1.2017, 22:07