liu00901
发表于 2005-2-5 16:03:00
加好规则限速时,在小流量下会短暂切断流量,马上又恢复。我设置了120Kbit/S(14.6KB/S),一下载到136Kbit/s维持两秒就跌到0,然后有回升到135-136Kbit/S,两秒后又降为0,不断循环。。大于200Kbit/S就平稳些。。。还有大伙有知道在M0N0里怎么绑IP-MAC吗?
analyst
发表于 2005-2-5 21:50:01
m0n0的限速不准的,如果你要限制在14.6KB/s,建议你把它设成2Kbit/s,估计就差不多了。m0n0中绑ip-mac的方法参见:http://m0n0.ch/wall/docbook/faq-macfilt.html
张浩峰
发表于 2005-2-6 10:19:24
如何设置限速的啊?
liu00901
发表于 2005-2-6 14:21:45
谢谢!看了。。1.基于MAC地址过虑。在服务里激活需要绑定的网卡界面,把允许通过的MAC添加到Pass-through MAC列表里。2.使用DHCP. 添加允许分配IP的MAC,并拦截未授权的MAC3.使用静态ARP. 命令行输入arp -s ipmac,或者修改config.xml? (192.168.1.11) at ab:cd:ef:12:34:56 on sis2 不尽人意哦。。。。。
liu00901
发表于 2005-2-7 13:24:52
Unix/Linux/BSD如何对抗ARP欺骗攻击 转自永远的UNIX:http://fanqiang.chinaunix.net/a4/b2/20021030/060201328.html Q: Solaris的静态ARP表项(arp -s)还是会被动态刷新,我只确认Linux/FreeBSD的静 态ARP表项不会被动态刷新,到底有没有稍微通用点的对抗ARP欺骗攻击的方法。下面以Solaris系统为例说明,其他系统大同小异。1) 建立静态ARP表/usr/bin/touch /etc/static_arp_entry/usr/bin/chown root:root /etc/static_arp_entry/usr/bin/chmod 600 /etc/static_arp_entry编辑/etc/static_arp_entry文件,输入类似内容192.168.8.90 00:00:00:11:11:11/usr/sbin/arp -s -f /etc/static_arp_entry可以在/etc/rc2.d/S69inet启动脚本中增加这条命令。参看arp(1M)、arp(7P)手册页了解更多细节。这种技术对系统影响不大,对网络影响较大,破坏了动态ARP解析过程。Solaris系统中,静态ARP表不会过期,必须用"arp -d"手动删除。但是,Solaris系统的静态ARP表项可以被动态刷新,仅仅依靠静态ARP表项并不能对抗ARP欺骗攻击,相反纵容了ARP欺骗攻击,因为虚假的静态ARP表项不会自动超时消失。当然,可以考虑利用cron机制补救之。(增加一个crontab)为了对抗ARP欺骗攻击,对于Solaris系统来说,应该结合"禁止相应网络接口做ARP解析"和"使用静态ARP表"的设置2) 禁止某个网络接口做ARP解析(对抗ARP欺骗攻击)"/sbin/ifconfig hme0 -arp"命令将禁止hme0接口做ARP解析,hme0接口不会发送/接收ARP报文。必须配合使用静态ARP表,否则无法完成正常网络通信。参看ifconfig(1M)了解更多细节。假设/etc/rc2.d/S69inet启动脚本中存在如下内容/sbin/ifconfig hme0 -arp/usr/sbin/arp -s -f /etc/static_arp_entry假设/etc/static_arp_entry文件内容如下192.168.8.90 00:00:00:11:11:11这里192.168.8.90是一台PWin98,也做静态ARP设置(因为对方不会响应ARP请求报文)arp -s 192.168.10.6 08-00-20-a8-2e-ac此时192.168.8.90与192.168.10.6可以正常通信,并且192.168.10.6不受ARP欺骗攻击的影响。事实上,绝大多数Unix/Linux/BSD操作系统,都可以结合"禁止相应网络接口做ARP解析"和"使用静态ARP表"的设置来对抗ARP欺骗攻击。对于Linux/FreeBSD系统,因为其静态ARP表项(arp -s)不会被动态刷新,所以不需要"禁止相应网络接口做ARP解析"即可对抗ARP欺骗攻击。
sblive
发表于 2005-2-8 09:15:49
可惜现在不支持IP回流。
sxx20000
发表于 2005-4-18 18:26:11
哎我本来用IPCOP的,回流,映射真方便呀,可是没有限速现在用m0n0Wall,没有回流真不方便呀,怎么不收费的就这样子呢,失落
页:
[1]