ICMP limit ? Firewall Rules Advanced Options что есть что?
-
в Advanced Options есть следующие пункты:
Simultaneous client connection limit
Maximum state entries per host
Maximum new connections / per second
State Timeout in seconds
кто может обяснить что они означают и на что влияют?задача - ограничить кол-во ICMP пакетов с 1 хоста.
т.е. что бы например можно бывло поставить 2 пинга в инет, а 3 пинг уже не работал. -
Такое нельзя сделать.
-
Вот это http://www.openbsd.org/faq/pf/filter.html#stateopts может многое объяснить про эти опции.
-
Такое нельзя сделать.
а как можно ограничить использование icmp ? надо что бы пропинговать можно было, но не возможно было одновремено открыть много потоков пингования, ограничение надо на все хосты кроме 2х исключений
просто стит в сети несколько систем мониторинга, и опрашивают всю сеть, надо оставить одну, остальные ограничить.
-
Такое нельзя сделать.
а как можно ограничить использование icmp ? надо что бы пропинговать можно было, но не возможно было одновремено открыть много потоков пингования, ограничение надо на все хосты кроме 2х исключений
просто стит в сети несколько систем мониторинга, и опрашивают всю сеть, надо оставить одну, остальные ограничить.
Думаю вот это должно ограничить количество одновременных соединений на 1 компьютер
Simultaneous client connection limit
Попробуйте задать его в разрешающем правиле для ICMP. -
нашел как возможно реализовать в обычной фре-
#!/bin/sh
friends="192.168.0.0/24"
#there will be moreipfw -f flush
ipfw -f pipe flushipfw pipe 1 config bw 5KB/s
ipfw add 10 allow icmp from me to $friends
ipfw add 20 allow icmp from $friends to me
ipfw add 30 allow icmp from $friends to $friends
ipfw add 40 allow icmp from me to meipfw add 100 skipto 1000 icmptypes 8 # check for request from me
ipfw add 200 skipto 2000 icmptypes 0 # check for replies to meipfw add 1000 allow icmp from me to any # allow request only from me
ipfw add 1001 skipto 9000 icmp from any to any # go in the pipe
ipfw add 2000 allow icmp from any to me # allow replies only to me
ipfw add 2001 skipto 9000 icmp from any to any # go in the pipeipfw add 9000 pipe 1 icmp from any to any
http://forums.freebsd.org/showthread.php?t=1442
Как подобное сделать через гуй в пфсенсе?
-
Похоже ты только голову всем заморочил витиеватой формулировкой своего вопроса. Если тебе просто нужно разрешить пинг с определённых хостов, то создай алиас в Firewall->Aliases, где перечисли IP всех разрешённых хостов. Потом в правилах Firewall->Rules создай правило, разрешающее ICMP с алиаса на куда тебе надо. Остальное по умолчанию будет запрещено. Не получилось? Сюда: скриншот алиасов, скриншот правил и откуда пингуешь что.
-
да нет…
запретить ICMP полностью всем кроме избранных я умею...
в том то и дело, что хотелось бы ограничить количество ICMP для всех, кроме избранных...
проблема в самовольной установке систем мониторинга, в результате чего ICMP пакетов дофига выходит...
net.inet.icmp.icmplim вместо 500 стоит 2000... но и этого мало.... -
-
как измеряем?
по юзерски :)
пингую с хоста - хост - пинг идет,
начинаю пинговать второй - не идет,
отключаю пинг на первый -начинает идти на второй…хотя бы так :)
если есть другие варианты - то какие? так как пока есть только один - закрыть пинг полностью... чего не хочется. -
2 (alexandrnew) Вы мою рекомендацию пробовали?
-
к сожалению не помогает
игрался с разными комбинациями
Simultaneous client connection limit
Maximum state entries per host
Maximum new connections / per second -
Мне бы ваши проблемы… ээээх