ICMP limit ? Firewall Rules Advanced Options что есть что?



  • в Advanced Options есть следующие пункты:
    Simultaneous client connection limit
    Maximum state entries per host
    Maximum new connections / per second
    State Timeout in seconds
    кто может обяснить что они означают и на что влияют?

    задача - ограничить кол-во ICMP пакетов с 1 хоста.
    т.е. что бы например можно бывло поставить 2 пинга в инет, а 3 пинг уже не работал.



  • Такое нельзя сделать.



  • Вот это http://www.openbsd.org/faq/pf/filter.html#stateopts может многое объяснить про эти опции.



  • @dvserg:

    Такое нельзя сделать.

    а как можно ограничить использование icmp ? надо что бы пропинговать можно было,  но не возможно было одновремено открыть много потоков пингования, ограничение надо на все хосты кроме 2х исключений

    просто стит в сети несколько систем мониторинга, и опрашивают всю сеть, надо оставить одну, остальные ограничить.



  • @alexandrnew:

    @dvserg:

    Такое нельзя сделать.

    а как можно ограничить использование icmp ? надо что бы пропинговать можно было,  но не возможно было одновремено открыть много потоков пингования, ограничение надо на все хосты кроме 2х исключений

    просто стит в сети несколько систем мониторинга, и опрашивают всю сеть, надо оставить одну, остальные ограничить.

    Думаю вот это должно ограничить количество одновременных соединений на 1 компьютер
    Simultaneous client connection limit
    Попробуйте задать его в разрешающем правиле для ICMP.



  • нашел как возможно реализовать в обычной фре-

    #!/bin/sh

    friends="192.168.0.0/24"
    #there will be more

    ipfw -f flush
    ipfw -f pipe flush

    ipfw pipe 1 config bw 5KB/s

    ipfw add 10 allow icmp from me to $friends
    ipfw add 20 allow icmp from $friends to me
    ipfw add 30 allow icmp from $friends to $friends
    ipfw add 40 allow icmp from me to me

    ipfw add 100 skipto 1000 icmptypes 8 # check for request from me
    ipfw add 200 skipto 2000 icmptypes 0 # check for replies to me

    ipfw add 1000 allow icmp from me to any # allow request only from me
    ipfw add 1001 skipto 9000 icmp from any to any # go in the pipe
    ipfw add 2000 allow icmp from any to me # allow replies only to me
    ipfw add 2001 skipto 9000 icmp from any to any # go in the pipe

    ipfw add 9000 pipe 1 icmp from any to any

    http://forums.freebsd.org/showthread.php?t=1442

    Как подобное сделать через гуй в пфсенсе?



  • Похоже ты только голову всем заморочил витиеватой формулировкой своего вопроса. Если тебе просто нужно разрешить пинг с определённых хостов, то создай алиас в Firewall->Aliases, где перечисли IP всех разрешённых хостов. Потом в правилах Firewall->Rules создай правило, разрешающее ICMP с алиаса на куда тебе надо. Остальное по умолчанию будет запрещено. Не получилось? Сюда: скриншот алиасов, скриншот правил и откуда пингуешь что.



  • да нет…
    запретить ICMP полностью всем кроме избранных я умею...
    в том то и дело, что хотелось бы ограничить количество ICMP для всех, кроме избранных...
    проблема в самовольной установке систем мониторинга, в результате чего ICMP пакетов дофига выходит...
    net.inet.icmp.icmplim  вместо 500 стоит 2000... но и этого мало....



  • Хорошо, дай определение вот этому:
    @alexandrnew:

    количество ICMP

    как измеряем?



  • как измеряем?

    по юзерски :)
    пингую с хоста - хост - пинг идет,
    начинаю пинговать второй - не идет,
    отключаю пинг на первый -начинает идти на второй…

    хотя бы так :)
    если есть другие варианты - то какие? так как пока есть только один - закрыть пинг полностью... чего не хочется.



  • 2 (alexandrnew) Вы мою рекомендацию пробовали?



  • к сожалению не помогает
    игрался с разными комбинациями
    Simultaneous client connection limit
    Maximum state entries per host
    Maximum new connections / per second



  • Мне бы ваши проблемы… ээээх


Log in to reply