ICMP limit ? Firewall Rules Advanced Options что есть что?

Eugene

Вот это http://www.openbsd.org/faq/pf/filter.html#stateopts может многое объяснить про эти опции.

alexandrnew

@dvserg:

Такое нельзя сделать.

а как можно ограничить использование icmp ? надо что бы пропинговать можно было,  но не возможно было одновремено открыть много потоков пингования, ограничение надо на все хосты кроме 2х исключений

просто стит в сети несколько систем мониторинга, и опрашивают всю сеть, надо оставить одну, остальные ограничить.

dvserg

@alexandrnew:

@dvserg:

Такое нельзя сделать.

а как можно ограничить использование icmp ? надо что бы пропинговать можно было,  но не возможно было одновремено открыть много потоков пингования, ограничение надо на все хосты кроме 2х исключений

просто стит в сети несколько систем мониторинга, и опрашивают всю сеть, надо оставить одну, остальные ограничить.

Думаю вот это должно ограничить количество одновременных соединений на 1 компьютер
Simultaneous client connection limit
Попробуйте задать его в разрешающем правиле для ICMP.

alexandrnew

нашел как возможно реализовать в обычной фре-

#!/bin/sh

friends="192.168.0.0/24"
#there will be more

ipfw -f flush
ipfw -f pipe flush

ipfw pipe 1 config bw 5KB/s

ipfw add 10 allow icmp from me to $friends
ipfw add 20 allow icmp from $friends to me
ipfw add 30 allow icmp from $friends to $friends
ipfw add 40 allow icmp from me to me

ipfw add 100 skipto 1000 icmptypes 8 # check for request from me
ipfw add 200 skipto 2000 icmptypes 0 # check for replies to me

ipfw add 1000 allow icmp from me to any # allow request only from me
ipfw add 1001 skipto 9000 icmp from any to any # go in the pipe
ipfw add 2000 allow icmp from any to me # allow replies only to me
ipfw add 2001 skipto 9000 icmp from any to any # go in the pipe

ipfw add 9000 pipe 1 icmp from any to any

http://forums.freebsd.org/showthread.php?t=1442

Как подобное сделать через гуй в пфсенсе?

Eugene

Похоже ты только голову всем заморочил витиеватой формулировкой своего вопроса. Если тебе просто нужно разрешить пинг с определённых хостов, то создай алиас в Firewall->Aliases, где перечисли IP всех разрешённых хостов. Потом в правилах Firewall->Rules создай правило, разрешающее ICMP с алиаса на куда тебе надо. Остальное по умолчанию будет запрещено. Не получилось? Сюда: скриншот алиасов, скриншот правил и откуда пингуешь что.

alexandrnew

да нет…
запретить ICMP полностью всем кроме избранных я умею...
в том то и дело, что хотелось бы ограничить количество ICMP для всех, кроме избранных...
проблема в самовольной установке систем мониторинга, в результате чего ICMP пакетов дофига выходит...
net.inet.icmp.icmplim  вместо 500 стоит 2000... но и этого мало....

Eugene

Хорошо, дай определение вот этому:
@alexandrnew:

количество ICMP

как измеряем?

alexandrnew

как измеряем?

по юзерски :)
пингую с хоста - хост - пинг идет,
начинаю пинговать второй - не идет,
отключаю пинг на первый -начинает идти на второй…

хотя бы так :)
если есть другие варианты - то какие? так как пока есть только один - закрыть пинг полностью... чего не хочется.

dvserg

2 (alexandrnew) Вы мою рекомендацию пробовали?

alexandrnew

к сожалению не помогает
игрался с разными комбинациями
Simultaneous client connection limit
Maximum state entries per host
Maximum new connections / per second

zar0ku1

Мне бы ваши проблемы… ээээх