找回密码
 注册

QQ登录

只需一步,快速开始

搜索
楼主: bfrader

限制连接数与限制带宽的效果比较

[复制链接]
 楼主| 发表于 2007-12-16 13:27:12 | 显示全部楼层
原帖由 jk0wg 于 2007-12-15 22:47 发表
楼主试过 -m limit --limit 30/s吗?  limit是限制发包的速度.超过设定速率.就DROP.   connlimit在LINUX下要对iptables打补丁才能用.所以没用过connlimit.楼主有条件的话对比下limit和connlimit两者的区别.  

limit和限制带宽有点象,connlimit并不直接限制带宽
limit不能限制并发连接数,也就是说,你只能限制客户机的发包速度,但客户机可以建立很多的连接。注意,建立连接并不说明就一定会接受和发送数据,所以p2p软件就这样占着许多无效的连接数,白白浪费了isp分配给我们的并发连接数
routeros
回复

使用道具 举报

发表于 2007-12-18 00:55:26 | 显示全部楼层
但是限制了连接.如果同一连接,速度就很快.那带宽被占,就会影响到其它用户的吧?
routeros
回复

使用道具 举报

 楼主| 发表于 2007-12-18 20:22:26 | 显示全部楼层
所以我曾说过,如果客户机很多的话,限制并发连接数配合带宽限制,效果会比较好。

对adsl来说,最重要的是限制上行带宽;而对10M以上的光纤宽带,个人认为不用限制带宽——原来大家都想限制p2p软件的带宽,而现在p2p软件的应用已经限制到和普通下载软件一样的正常应用范围了,所以也不必限制他们的带宽了,否则只是白白耗费路由器的cpu资源
routeros
回复

使用道具 举报

发表于 2007-12-28 11:06:08 | 显示全部楼层
我下的MINIFW 3.7里怎么没有EXPR, 重新加载防火墙提示没有EXPR

我把前面帖子里的expr装上后,显示下面错误
Configuring firewall rules...
expr: can't resolve symbol '__uClibc_start_main' in lib 'expr'. [: 254: unknown operand expr: can't resolve symbol '__uClibc_start_main' in lib 'expr'. [: 5: unknown operand Configuring custom firewall rules...
Configuring port forwarding for internal hosts...

请问这是哪里有问题呀?
routeros
回复

使用道具 举报

发表于 2007-12-28 16:53:42 | 显示全部楼层
直接修改系统限制连接数这样可以免浪费路由资源,效果和路由限制IP连接数是否一样?
routeros
回复

使用道具 举报

 楼主| 发表于 2007-12-28 20:24:15 | 显示全部楼层
原帖由 SDK 于 2007-12-28 11:06 发表
我下的MINIFW 3.7里怎么没有EXPR, 重新加载防火墙提示没有EXPR

我把前面帖子里的expr装上后,显示下面错误
Configuring firewall rules...
expr: can't resolve symbol '__uClibc_start_main' in lib 'expr'.  ...

不知你用的是软盘版还是硬盘版,软盘版精简了一些不常用的东西,比如一些运行库,你机器中出现的提示就是缺少运行库。前面的帖子中的expr是从minifw37硬盘版中提取出来的。
实际上你也可以用前面我所说的笨方法——用for语句来实现循环
routeros
回复

使用道具 举报

 楼主| 发表于 2007-12-28 20:27:12 | 显示全部楼层
原帖由 lin2k 于 2007-12-28 16:53 发表
直接修改系统限制连接数这样可以免浪费路由资源,效果和路由限制IP连接数是否一样?

如果能修改,效果是一样的,但要到每台客户机上修改。麻烦不说,别人的机器会让你修改吗?即使修改了,他随便用个连接数破解软件就给破了。
routeros
回复

使用道具 举报

发表于 2007-12-29 09:24:36 | 显示全部楼层
我安装的是硬盘版,直接把ISO文件刻盘安装,没有用到压缩包里的modules-all文件。

最后用FOR语句了。

查看系统日志有这个问题:
ipt_connlimit: Oops: invalid ct state
这是什么意思?
routeros
回复

使用道具 举报

 楼主| 发表于 2007-12-31 13:03:08 | 显示全部楼层
原帖由 SDK 于 2007-12-29 09:24 发表
我安装的是硬盘版,直接把ISO文件刻盘安装,没有用到压缩包里的modules-all文件。

最后用FOR语句了。

查看系统日志有这个问题:
ipt_connlimit: Oops: invalid ct state
这是什么意思?

这个问题我也有,我也不清楚什么意思,但不影响限制连接数
routeros
回复

使用道具 举报

发表于 2008-1-3 20:37:15 | 显示全部楼层

我试了BrazilFW2.29,没效果啊

我一直使用的BrazilFW2.29,查看了已加载的模块中有ipt_connlimit,后来就按照楼主的意思在《编辑自定义防火墙规则 》中加了如下内容:
#iptables -I FORWARD -p tcp -s 192.168.1.11 -m connlimit --connlimit-above 25 -j REJECT
#iptables -I FORWARD -p tcp -s 192.168.1.9 -m connlimit --connlimit-above 10 -j REJECT
发现没有效果啊。
以下是我的《编辑自定义防火墙规则 》的内容:

# Local Custom Firewall rules

# Level 7 Filtering example:
#iptables -t mangle -A POSTROUTING -m layer7 --l7proto edonkey -j DROP
#iptables -I FORWARD -p tcp -s 192.168.1.11 -m connlimit --connlimit-above 25 -j REJECT
#iptables -I FORWARD -p tcp -s 192.168.1.9 -m connlimit --connlimit-above 10 -j REJECT

# Attention: To enable the commands below can cause some side effects
# Syn-flood and DOS protection
#iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Port Scanners protection
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
# Ping-of-dead protection
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Speed UP DNS
#iptables -t mangle -A OUTPUT -p udp --dport 53 -j TOS --set-tos 0x08
#iptables -t mangle -A PREROUTING -p udp --dport 53 -j TOS --set-tos 0x10

# Speed UP HTTP
#iptables -t mangle -A OUTPUT -p tcp -j TOS --sport 80 --set-tos 0x08
#iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TOS --set-tos 0x08
#iptables -t mangle -A OUTPUT -p tcp -j TOS --sport 80 --set-tos 0x10

# ipt_connlimit
#iptables -I FORWARD -p tcp -s 192.168.1.11 -m connlimit --connlimit-above 25 -j REJECT
#iptables -I FORWARD -p tcp -s 192.168.1.9 -m connlimit --connlimit-above 10 -j REJECT
这样为什么没有效果呢??请高手赐教!万分感激!
routeros
回复

使用道具 举报

 楼主| 发表于 2008-1-4 11:43:59 | 显示全部楼层
“#iptables -I FORWARD -p tcp -s 192.168.1.11 -m connlimit --connlimit-above 25 -j REJECT”中的#号后的内容是不会运行的,#号是用来注释的,所以要把#号去掉
routeros
回复

使用道具 举报

发表于 2008-1-5 16:26:50 | 显示全部楼层
谢谢楼主,我把#去掉在试试看
还想问下:我原先没有添加语句时发现《编辑自定义防火墙规则 》中的内容前面
都是加#号的,那按你的意思是说,原先的内容同样也是不会运行的?
routeros
回复

使用道具 举报

 楼主| 发表于 2008-1-5 18:37:48 | 显示全部楼层
原帖由 wangyan1268 于 2008-1-5 16:26 发表
谢谢楼主,我把#去掉在试试看
还想问下:我原先没有添加语句时发现《编辑自定义防火墙规则 》中的内容前面
都是加#号的,那按你的意思是说,原先的内容同样也是不会运行的?

是的
routeros
回复

使用道具 举报

发表于 2008-1-5 21:34:10 | 显示全部楼层
谢谢楼主啊!按照您的意思我改了,确实生效了!
楼主你人太好了!
routeros
回复

使用道具 举报

 楼主| 发表于 2008-1-6 18:35:40 | 显示全部楼层
原帖由 wangyan1268 于 2008-1-5 21:34 发表
谢谢楼主啊!按照您的意思我改了,确实生效了!
楼主你人太好了!

routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-23 07:24 , Processed in 0.076058 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表