villi Сообщения

villi	# 11 лет, 5 месяцев назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	gard - ну от Вас-то я не ожидалъ… :) SYN-флаг генерируется при попытке соединения, но не при установленном (ESTABLISHED,RELATED) сеансе. В правилах апстола для торрента нуна ограничить количество соединений, но не пакетов, так что - пользуйтесь connlimit Типа чё-то: /sbin/iptables --table filter --append OUTPUT --out-interface ${ExternalIFACE} --protocol tcp --syn --dport 6000 --match conntrack --ctstate NEW --match connlimit ! --connlimit-above 16 --jump ACCEPT

# 11 лет, 5 месяцев назад

Сообщения: 144

Участник с: 07 декабря 2009

gard - ну от Вас-то я не ожидалъ… :)
SYN-флаг генерируется при попытке соединения, но не при установленном (ESTABLISHED,RELATED) сеансе.
В правилах апстола для торрента нуна ограничить количество соединений, но не пакетов, так что - пользуйтесь
connlimit
Типа чё-то:

 /sbin/iptables --table filter --append OUTPUT --out-interface ${ExternalIFACE} --protocol tcp --syn --dport 6000 --match conntrack --ctstate NEW --match connlimit ! --connlimit-above 16 --jump ACCEPT

villi	# 11 лет, 6 месяцев назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	swichmen Пасиб. Жалко конечто что ничего незя сделать. Простите, но Вы вообще читали советы выше? _AND_ Юзайте открытые xf86-video-ati. Проприетарные не поддерживают старые карты. Или этот топик - монолог отчаяния?

villi

# 11 лет, 6 месяцев назад

Темы: 0

Сообщения: 144

Участник с: 07 декабря 2009

swichmen
Пасиб. Жалко конечто что ничего незя сделать.

Простите, но Вы вообще читали советы выше?

_AND_
Юзайте открытые xf86-video-ati. Проприетарные не поддерживают старые карты.

Или этот топик - монолог отчаяния?

villi	# 11 лет, 6 месяцев назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	Используйте TPROXY-режим. В правилах апстола пишете нечто похожее: /sbin/iptables --table mangle --new-chain SQUID_HANDLE /sbin/iptables --table mangle --append SQUID_HANDLE --jump MARK --set-mark 1 /sbin/iptables --table mangle --append SQUID_HANDLE --jump ACCEPT /sbin/iptables --table mangle --append PREROUTING --protocol tcp --syn --match conntrack --ctstate NEW --match socket --jump SQUID_HANDLE /sbin/iptables --table mangle --append PREROUTING --protocol tcp ! --syn --match conntrack --ctstate ESTABLISHED,RELATED --match socket --jump SQUID_HANDLE /sbin/iptables --table mangle --append PREROUTING --protocol tcp --match multiport --dports 80,22 --jump TPROXY --tproxy-mark 0x1/0x1 --on-port 3128 --on-ip {Ваш ip} Цепочки таблицы filter: INPUT,OUTPUT,FORWARD для нужных портов тоже следует открыть, насколько я панемаю :D С кальмаром, думаю, сами разберётесь.

villi

# 11 лет, 6 месяцев назад

Темы: 0

Сообщения: 144

Участник с: 07 декабря 2009

Используйте TPROXY-режим.
В правилах апстола пишете нечто похожее:

/sbin/iptables --table mangle --new-chain SQUID_HANDLE
/sbin/iptables --table mangle --append SQUID_HANDLE --jump MARK --set-mark 1
/sbin/iptables --table mangle --append SQUID_HANDLE --jump ACCEPT
/sbin/iptables --table mangle --append PREROUTING --protocol tcp --syn --match conntrack --ctstate NEW --match socket --jump SQUID_HANDLE
/sbin/iptables --table mangle --append PREROUTING --protocol tcp ! --syn --match conntrack --ctstate ESTABLISHED,RELATED --match socket --jump SQUID_HANDLE
/sbin/iptables --table mangle --append PREROUTING --protocol tcp --match multiport --dports 80,22 --jump TPROXY --tproxy-mark 0x1/0x1 --on-port 3128 --on-ip {Ваш ip}

Цепочки таблицы filter: INPUT,OUTPUT,FORWARD для нужных портов тоже следует открыть, насколько я панемаю :D
С кальмаром, думаю, сами разберётесь.

villi	# 11 лет, 8 месяцев назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	Если отключить туннель в /etc/ssh/sshd_config: PermitTunnel no ?

villi	# 11 лет, 8 месяцев назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	+1 мегатонна, w00zy, но: ConsoleKit, который везде впиливают в тандеме с PolicyKit - это тот же … совершенно нечитабельный, на мой взгляд, набор xml'ных конфигов. Притом, что существует туча других языков - lua, например… Собсно, к чему это я? HAL успешно зарывают, и не в последнюю очередь из-за его xml'а. Ну не знаю…

villi

# 11 лет, 8 месяцев назад

Темы: 0

Сообщения: 144

Участник с: 07 декабря 2009

+1 мегатонна, w00zy, но:
ConsoleKit, который везде впиливают в тандеме с PolicyKit - это тот же … совершенно
нечитабельный, на мой взгляд, набор xml'ных конфигов.
Притом, что существует туча других языков - lua, например…
Собсно, к чему это я? HAL успешно зарывают, и не в последнюю очередь
из-за его xml'а. Ну не знаю…

villi	# 12 лет назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	Ага, bobart, а мне писал, типа - “я ещё не дошёл до такой степени красноглазия…” Ну и где правда-то, где ?! :D

villi	# 12 лет назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	iptables -t nat -A FORWARD -o ppp0 -j SNAT –to-source <адрес> shaman, садись - два :D В таблице nat существуют три цепочки: PREROUTING, OUTPUT, POSTROUTING Политики “по-умолчанию” лучше всего озвучивать в самом начале, но после iptables -F

villi	# 12 лет назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	Ну тут я и сдулся :D С wifi не разбирался, не имею даже зачатков опыта. Так что, извиняйте.

villi	# 12 лет назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	Прошу прощения, а wlan - просто ethernet, или туннель?

villi	# 12 лет назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	Теперь стоит уточнить --in-interfaces, --out-interfaces в цепочке FORWARD