arial |
|
Темы:
1
Сообщения:
6
Участник с: 14 февраля 2011
|
Привет! В dmesg постоянно сыплются сообщения такого плана: Mar 15 16:15:39 localhost kernel: net_ratelimit: 18 callbacks suppressedНа порту 60000 висит торрент-клиент. Как сделать так, чтобы ядро на этот порт не ругалось и не засоряло лог? |
amigo |
|
Темы:
35
Сообщения:
2126
Участник с: 05 февраля 2007
|
SYN-флуд и т.д. по мотивам гугла. А так же в арче вики.
Разберемся, голубчик!
|
gard |
|
Темы:
66
Сообщения:
1169
Участник с: 15 декабря 2009
|
Это к вам торренты ломятся.. |
arial |
|
Темы:
1
Сообщения:
6
Участник с: 14 февраля 2011
|
Я вчера весь день провёл за гугленьем словосочетаний SYN flooding. Так и не разобрался, что сделать, чтобы система на этот порт внимания не обращала. Наверное, только совсем SYN cookie отключить. |
gard |
|
Темы:
66
Сообщения:
1169
Участник с: 15 декабря 2009
|
А если явно разрешить в iptables syn соединения на этот порт? У меня это делано, но вот я не помню сыплются ли сообщения о флуде или нет.. |
arial |
|
Темы:
1
Сообщения:
6
Участник с: 14 февраля 2011
|
Я писал такие правила в iptables:iptables -A OUTPUT -p tcp -m tcp –sport 60000 –tcp-flags SYN,ACK ACK -m limit –limit 400/sec –limit-burst 800 -j ACCEPTНо я во флагах путаюсь, да и вообще в iptables не силён. Может не правильно написал. Большое количество траффика под первое правило попадает, но от сообщений в логе это не спасает. |
gard |
|
Темы:
66
Сообщения:
1169
Участник с: 15 декабря 2009
|
У меня по моему тоже такие же сообщения все таки есть.. даже незнаю что посоветовать, то есть разрешить то мы разрешили, но система такую массированную атаку на порт расценивает с подозрением на флуд.. Тут надо разбираться или просто не обращать внимания, жить ведь не мешает =) |
villi |
|
Темы:
0
Сообщения:
144
Участник с: 07 декабря 2009
|
gard - ну от Вас-то я не ожидалъ… :) SYN-флаг генерируется при попытке соединения, но не при установленном (ESTABLISHED,RELATED) сеансе. В правилах апстола для торрента нуна ограничить количество соединений, но не пакетов, так что - пользуйтесь connlimit Типа чё-то: /sbin/iptables --table filter --append OUTPUT --out-interface ${ExternalIFACE} --protocol tcp --syn --dport 6000 --match conntrack --ctstate NEW --match connlimit ! --connlimit-above 16 --jump ACCEPT |
arial |
|
Темы:
1
Сообщения:
6
Участник с: 14 февраля 2011
|
Нет, не помогло. Вот что у меня в iptables сейчас (iptables -L -v): Chain INPUT (policy ACCEPT 4150 packets, 369K bytes)Пробовал увеличить connlimit-above до 200 (у меня 200 соединений в торрент-клиенте), всё-равно в логи предупреждения падают. |