 Время жизни сессии |
Здравствуйте, гость ( Вход | Регистрация )
  |
 21.8.2008, 10:06
Сообщение
#1
|
|
|
Бит  Группа: Пользователи Сообщений: 3 Регистрация: 21.8.2008 Пользователь №: 5247 Спасибо сказали: 0 раз  |
сетевые intel mt
есть микротик 2.9.27 интерфейс внутренний и внешний поднят ip proxy правила: chain=sanity-check protocol=tcp connection-limit=20,32 src-address-list=DoS_black_list action=tarpit comment="suppress DoS attack" disabled=no chain=sanity-check protocol=tcp connection-limit=30,32 action= add-src-to-address-list address-list=DoS_black_list address-list-timeout=1d comment="detect DoS attack" disabled=no для ограничения количества сессий. НО - как только начинает правило работать начинаются жуткие тормоза загрузки страниц и отвалы по таймаутам. канал огромный. При отключении правила - все грузится влет, но коннектов одновременных - много. Мое предположение - долго висят коннекты. Может в этом дело? как победить? |
 |
  
|
|
|
|
|
21.8.2008, 20:07
Сообщение
#2
|
|
 BD-ROM Группа: Главные администраторы Сообщений: 5674 Регистрация: 2.12.2005 Пользователь №: 7 Спасибо сказали: 465 раз |
X ;;; limit connections
chain=forward src-address=11.10.20.101 protocol=tcp dst-port=0-65535 tcp-flags=syn connection-limit=3,32 connection-state=new action=drop X chain=forward src-address=11.10.20.101 protocol=tcp src-port=0-65535 tcp-flags=syn connection-limit=2,32 action=accept У меня так сесси ограничиваются 
-------------------- Профессионал - тот же дилетант, только знающий, где ошибается.
|
|
|
|
|
22.8.2008, 10:44
Сообщение
#3
|
|
|
Бит Группа: Пользователи Сообщений: 3 Регистрация: 21.8.2008 Пользователь №: 5247 Спасибо сказали: 0 раз |
Цитата(Zhelezaka @ 21.8.2008, 21:07)  X ;;; limit connections chain=forward src-address=11.10.20.101 protocol=tcp dst-port=0-65535 tcp-flags=syn connection-limit=3,32 connection-state=new action=drop X chain=forward src-address=11.10.20.101 protocol=tcp src-port=0-65535 tcp-flags=syn connection-limit=2,32 action=accept У меня так сесси ограничиваются поскольку вижу, что у тебя они не активны, предлагаю активировать и попробовать следующее - открыть одновременно, к примеру яндекс, маилру, рбк... у maxon - группы! у меня - недогрузка страниц при таких правилах. |
|
|
|
|
22.8.2008, 12:48
Сообщение
#4
|
|
|
BD-ROM Группа: Главные администраторы Сообщений: 5674 Регистрация: 2.12.2005 Пользователь №: 7 Спасибо сказали: 465 раз |
Но эти правила я отключил, т.к. нет необходимости в них, но что сессии ограничиваются - проверено...
А что ты собственно хочешь??? Три + две сессии и точка... И качать только в три потока смогут... Поставь как у тебя connection-limit=20,32 и будут у тебя одновременно и яндэкс и маилру открываться )) -------------------- Профессионал - тот же дилетант, только знающий, где ошибается.
|
|
|
|
|
25.8.2008, 8:57
Сообщение
#5
|
|
|
Бит Группа: Пользователи Сообщений: 3 Регистрация: 21.8.2008 Пользователь №: 5247 Спасибо сказали: 0 раз |
Цитата(Zhelezaka @ 22.8.2008, 13:48) Но эти правила я отключил, т.к. нет необходимости в них, но что сессии ограничиваются - проверено... А что ты собственно хочешь??? Три + две сессии и точка... И качать только в три потока смогут... Поставь как у тебя connection-limit=20,32 и будут у тебя одновременно и яндэкс и маилру открываться )) именно так и поступил правда не понял, почему tarpit не заработал... |
|
|
|
|
25.8.2008, 15:08
Сообщение
#6
|
|
 Байт Группа: Пользователи Сообщений: 15 Регистрация: 24.8.2008 Пользователь №: 5282 Спасибо сказали: 0 раз |
Цитата(terset @ 21.8.2008, 8:06) сетевые intel mt есть микротик 2.9.27 интерфейс внутренний и внешний поднят ip proxy правила: chain=sanity-check protocol=tcp connection-limit=20,32 src-address-list=DoS_black_list action=tarpit comment="suppress DoS attack" disabled=no chain=sanity-check protocol=tcp connection-limit=30,32 action= add-src-to-address-list address-list=DoS_black_list address-list-timeout=1d comment="detect DoS attack" disabled=no для ограничения количества сессий. НО - как только начинает правило работать начинаются жуткие тормоза загрузки страниц и отвалы по таймаутам. канал огромный. При отключении правила - все грузится влет, но коннектов одновременных - много. Мое предположение - долго висят коннекты. Может в этом дело? как победить? 1) Попробуйте отключить ненужные коннекты командой Enabled/no. Если нужно восстановить по умолчанию , то подключите нужный коннект мануально. -------------------- TenBemm ;)
|
|
|
|
|
26.8.2008, 1:35
Сообщение
#7
|
|
|
BD-ROM Группа: Главные администраторы Сообщений: 5674 Регистрация: 2.12.2005 Пользователь №: 7 Спасибо сказали: 465 раз |
Цитата(TenBlemm @ 25.8.2008, 13:08) 1) Попробуйте отключить ненужные коннекты командой Enabled/no. Если нужно восстановить по умолчанию , то подключите нужный коннект мануально.  Это про что????
-------------------- Профессионал - тот же дилетант, только знающий, где ошибается.
|
|
|
|
 |
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
Похожие темы
| Тема | Ответов | Автор | Просмотров | Последнее сообщени | |
|---|---|---|---|---|---|
 |
Explay L15 4gb помогите вернуть к жизни зависал экран, затем перестал определять как внешнее usb устройство |
1 | mindal | 4307 | 16.4.2013, 0:01 Посл. сообщение: Zhelezaka |
|
Заикаинием звука во время перехода с 23:59 на 0:00 | 4 | MrGreenRu | 3668 | 14.6.2011, 9:29 Посл. сообщение: Zhelezaka |
|
A-800 умер через время после прошивки | 1 | beef | 2352 | 24.7.2007, 8:14 Посл. сообщение: Alex |
|
Текстовая версия | Сейчас: 29.1.2023, 3:33 |