Биллинговая система Nodeny
24 Ноября 2024, 20:20:44 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2 3 4
  Печать  
Автор Тема: Ограничение сессий на порты 10000-65000.  (Прочитано 20501 раз)
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« : 30 Января 2012, 14:06:10 »

Все добрый день. Решили качкам немного насолить...  Подмигивающий До этого не имел опыта нарезки, отсюда вопрос:

Кто сколько дает сессий плохим юзерам, и вообще сколько достаточно для нормальной работы?
Если выделять скажем по 100 сессий tcp и 100 udp нормально будет? Спасибо!
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #1 : 30 Января 2012, 14:15:09 »

Все добрый день. Решили качкам немного насолить...  Подмигивающий До этого не имел опыта нарезки, отсюда вопрос:

Кто сколько дает сессий плохим юзерам, и вообще сколько достаточно для нормальной работы?
Если выделять скажем по 100 сессий tcp и 100 udp нормально будет? Спасибо!
Если ты имеешь ввиду не одновременные сессии (для резки в фаере), а их общее количество (для блокировки по потокам в самом nodeny), то мало даже для неторенщиков. Если хочешь резать в фаерволе, то учти: сколько бы ты не дал - торрент забивает все и если клиент откроет браузер - скорее всего будет тупить жестко. Тут надо хитрее поступать: на 80й порт давать больше потоков, чем на другие (я уже давал пример настройки pf для такого случая)

P.s. увидел заголовок, что речь идет о портах > 10000, тогда про 80й порт не читай. Кстати, можешь брать >1024 Порта. При 200 потоков на tcp и 100 для udp (без dns запросов) - клиенты не жалуются
« Последнее редактирование: 30 Января 2012, 14:17:10 от Efendy » Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #2 : 30 Января 2012, 14:26:31 »

Резать собрался фаерволом на бордере (микротик). Читал ваши наработки для pf, как в самом нодени резать (чисто для любопытства спрашиваю) ?
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #3 : 30 Января 2012, 14:31:21 »

я пробовал рубить
tcp: 10000 <> 65000
udp: 10000 <> 65000

оооочень большое онлайн игр перестает работать.
вносить в исключения заколебался

забил
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #4 : 30 Января 2012, 15:52:33 »

я пробовал рубить
tcp: 10000 <> 65000
udp: 10000 <> 65000

оооочень большое онлайн игр перестает работать.
вносить в исключения заколебался

забил
Дык я не говорю drop, говорю лимит и то только качкам, коих ~1%.
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #5 : 30 Января 2012, 16:00:01 »

я пробовал рубить
tcp: 10000 <> 65000
udp: 10000 <> 65000

оооочень большое онлайн игр перестает работать.
вносить в исключения заколебался

забил
Дык я не говорю drop, говорю лимит и то только качкам, коих ~1%.
я потом начал их маркировать и шейпить
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #6 : 30 Января 2012, 17:04:51 »

Шейпиш качков отдельно? Разъясни плиз
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #7 : 30 Января 2012, 17:39:42 »

Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #8 : 31 Января 2012, 12:10:55 »

Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового
т.е. клиенты шейпятся по своим шейпам, а потом еще отдельно высокие порты попадают в общую трубу?
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #9 : 31 Января 2012, 12:42:19 »

Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового
т.е. клиенты шейпятся по своим шейпам, а потом еще отдельно высокие порты попадают в общую трубу?
ага
это перед бэкбоном, уже после ната.
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #10 : 31 Января 2012, 12:52:00 »

Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового
т.е. клиенты шейпятся по своим шейпам, а потом еще отдельно высокие порты попадают в общую трубу?
ага
это перед бэкбоном, уже после ната.
Т.е. грубо говоря для всей ас-ки маркируте порты и в отдельную трубу? Или ток качков?
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #11 : 31 Января 2012, 13:15:06 »

Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового
т.е. клиенты шейпятся по своим шейпам, а потом еще отдельно высокие порты попадают в общую трубу?
ага
это перед бэкбоном, уже после ната.
Т.е. грубо говоря для всей ас-ки маркируте порты и в отдельную трубу? Или ток качков?
не, не для всей ас-ки
предварительно посмотрел с каких NAT адресов валит больше всего такого рода трафика, их в ip таблицу и внес.

Таблица mangle: 4 правила prerouting
TCP вход < > выход
UDP вход < > выход

а дальше создаем одну трубу на основе этих промаркированных пакетов для внешнего интерфейса.
я выделил 50 мбит под торренты.

в итоге онлайн игры работают, но правда со скрипом, изза общей трубы, которая вечно под полочку загружена.
но можно неспешно создавать исключения для этого правила.
веб серфинг тоже отлично, народ FullHD смотрит без проблем.
а полоска 50мбит торрент трафика делится как кому повезет, она не критична. если нужно расширю до 75 мбит

Еще достаточно важно исключить порты traceroute, они в верхнем диапазоне, а то будут постоянно сумасшедши задержки при трассировке.

Но буду схему эту кардинально убирать, т.е. хочу перестроить всё на 65 циску с sup2 модулем.
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #12 : 31 Января 2012, 15:06:52 »

Мда, придется извращаться с выявлением ип качков, у меня per connection type. 
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #13 : 31 Января 2012, 15:19:56 »

Мда, придется извращаться с выявлением ип качков, у меня per connection type. 
я не парюсь, у меня 32 ip адреса, которые натятся, вот всех туда
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #14 : 31 Января 2012, 16:13:44 »

Мда, придется извращаться с выявлением ип качков, у меня per connection type. 
я не парюсь, у меня 32 ip адреса, которые натятся, вот всех туда
Завидую, у меня /23 натятся  Подмигивающий
Записан
Страниц: [1] 2 3 4
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!