回复 #14 sorrow 的帖子
去测试下老大的这个修改版!很完美哟!http://www.routerclub.com/thread-13504-1-1.html 原帖由 hzl88688 于 2006-4-30 23:42 发表
你的规则是不是写入了这句:scrubouton $EXT_NIC all fragment reassemble random-id no-df
改一改看看:scrub on$EXT_NIC all fragment reassemblereassemble tcp random-id no-dfmin-ttl 142ma ...
试了你的语句,还是给封了。 原帖由 hzl88688 于 2006-5-2 13:33 发表
去测试下老大的这个修改版!很完美哟!
http://www.routerclub.com/thread-13504-1-1.html
刚刚搞了一个中午,用了你的光盘版,重新找了一个硬盘,只分了100M,现在在试用了15分钟左右,
还没发现问题,希望以后也可以正常。目前没有修改里面的自定义规则,需要改什么吗?谢谢!
回复 #18 sorrow 的帖子
不用修改规则了!我做的光盘版好用吗?提些建议! 到目前为止没用BT,但还正常,不会断线,谢谢了:)什么原理呢?呵呵 用到现在没问题,请问用什么原理呢?只是修改了ttl为128吗?其他的呢?
另外贴出我的pf.conf,希望可以探讨一下。
ext_if="tun0"
int_if="rl1"
loop="lo0"
tcp_services = "22"
internal_net="192.168.0.0/24"
external_addr="192.168.10.3"
squid="192.168.0.1"
set block-policy return
set loginterface $ext_if
scrub on $ext_if all fragment reassemble reassemble tcp random-id no-df min-ttl 128 max-mss 1400
rdr on $int_if proto tcp from $internal_net to any port http -> $squid port 3128
rdr on $ext_if inet proto tcp from any to ($ext_if) port 6251 -> 192.168.0.18
block return-rst out on $ext_if proto tcp all
block return-rst in on $ext_if proto tcp all
block return-icmp out on $ext_if proto udp all
block return-icmp in on $ext_if proto udp all
block all
pass quick on $loop all
block in quick proto tcp all flags SF/SFRA
block in quick proto tcp all flags SFUP/SFRAU
block in quick proto tcp all flags FPU/SFRAUP
block in quick proto tcp all flags /SFRA
block in quick proto tcp all flags F/SFRA
block in quick proto tcp all flags U/SFRAU
block in quick on $ext_if inet proto icmp all icmp-type 8 code 0
pass out on $ext_if inet proto icmp all icmp-type 8 code 0 keep state
pass in on $ext_if inet proto tcp from any to 192.168.0.18 port 6251 keep state
block drop in quick on $ext_if from $internal_net to any
block drop out quick on $ext_if from any to $internal_net
pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
Danger_Port="{445 135 139 593 5554 9995 9996}"
block quick on $int_if inet proto tcp from any to any port $Danger_Port
block quick on $ext_if inet proto tcp from any to any port $Danger_Port
block log quick on $ext_if inet proto tcp from any to any flags FUP/FUP
block quick on $ext_if inet proto tcp from any to any flags SF/SFRA
block quick on $ext_if inet proto tcp from any to any flags /SFRA
block quick on $ext_if os NMAP
noroute="{127.0.0.1/8,127.16.0.0/12,10.0.0/8,255.255.255.255/32}"
antispoof quick for $int_if inet
block quick on $ext_if inet from $noroute to any
block quick on $ext_if inet from any to $noroute PF防火墙可能不行,PF只是改了IPID为随机的,不能改其它的IP包数据,每台机出去还是有自已的指纹特征,还是很容易被探测出来,我使用NAMP每次都被探测出来自已的操作系统类型!
要避过网络尖兵,需要改很多IP包头数据:IPID,TTL及TCP SYN,COOKING等,太美老大做的这个尖兵模块是自已在核心层编程的! 那就大大的郁闷了,最喜欢FreeBSD了,不知道ipfilter那些行不行 早上用BT和eMule下载了一个多小时,后来打不开网页,也打不开coyote的管理网页,用ssh也不能连接,提示:
Unable to open connection to
192.168.0.1
Network error:No buffer space available
但是BT和eMule正常下载,telnet上BBS也正常。系统没有断线。
后来把BT和eMule停止了,同样不能打开网页,但是ssh正常,telnet上BBS也正常,只好重启coyote,重启后正常。
[ 本帖最后由 sorrow 于 2006-5-13 10:47 编辑 ]
回复 #24 sorrow 的帖子
内存太小了,BT和eMule太耗资源,路由是已经有P2P控制协议,你也可以用L7layer控制,路由上已经有了,你只要登录http://192.168.0.1:8180 ,然后点 QoS-L7 package, 选中YES ---SUBMIT-----QOS-l7 Filters Configuration-----Create new QoS-L7 filter ------SLOW-----Layer7 protocol (选择bittorrent和edonkey)-----提交------备份----重启 不可能太小了吧,我可是256M的内存啊,而且就带我一部机子上网,其他的没有开,而且我不需要限制bt的下载
回复 #26 sorrow 的帖子
用的是什么网卡? 8139,以前用debian+iptables+squid或freebsd+pf+squid+bind都不会有问题,而且几部windowd的机子一起bt也很正常,装debian或freebsd的是同一部机子,现在只是换了个硬盘,其他配置没有变化。说个大概配置:赛扬 1.3G
sdram 256M
815主板
8139 X 2
CDROM
希捷 40G(原来的)
希捷 4.3G(现在装cotoye) 装了pfsense beta3,用默认的设置,给封了,用了srcub语句,其他没有改,还是不行 嗨,确实光用srcub 不行.
用了快一个月,昨天电信的提示又来了;
奇怪的是今天又没有了?????
没有更改pf.conf
不过,因为是用电信和铁通的adsl 双路均衡出去,电信提示时一般重新刷两遍就可以了,
页:
1
[2]