Limitar número de conexiónes

Imagen de xime

Forums: 

Muy buenas, en primer lugar saludos a todos, desde hace un par de semanas vengo implementando un servidor squid con iptables, para dar servicio a unos 20 usuarios aproximadamente en un Centos 5.3.

Tengo el squid funcionando, y el nat funciona, los usuarios pueden navegar casi libremente, y he aquí mi problema, en las horas pico en que la mayoría de los usuarios está conectado al mismo tiempo, el ping se sube cómo 4000ms a google, todos se congestionan, y el servicio se vuelve muy malo.

Uso el htb-gen versión 0.8.4, para segmentar el ancho de banda, pero no controla la subida. Exactamente no se por que, sigo leyendo para tratar de solucionar esto.

Bueno entrando al tema se me ocurre bloquear el número de conexiones que los clientes hacen simultáneamente, ya lo hice con squid y la acl maxcon, pero esto no limita el resto de conexiones.

Varios de los clientes tienen el Ares y descargas activas que el squid no limita, entonces la solución debería estar en iptables.

Pero no he encontrada mucha información sobre esto en la red, cómo se lo implementa, lo único que he encontrada es Brazilfw connlimit se puede hacer esto en centos? de que forma? por que probándolos en mi fw, no parece funcionar el comando, o no se si me falta activar algún parche o módulo.

Desde ya muchas gracias por sus respuestas.

si tienes instalado htb-gen

Imagen de falcom

si tienes instalado htb-gen entonces tienes la solucion al problema solo lee la parte pertinente... thnx damage

ACTUALIZACIÓN 11/07/2009
Viendo varios post similares sobre el problema de la segmentación de subida, lastimosamente muchos solo pensaron de que era cosa de instalar dar dos clic's, poner las ip's y listo, pero no este problema de subida se soluciona, y repito como dije hace meses atras (por eso nunca di respuesta antes ya que no lo creía necesario debido a "que lo habia dicho antes") se debe jugar con las reglas de iptables, en la versión del htb gen 0.9.1 que es la cual muchos usan,se debe adicionar una linea en la cual marque el FORWARD con la opción -i, con eso es suficiente para solucionar el dilema de la subida, espero que prueben y apliquen lo recomendado. No me pregunten el porque, se los dejo de tarea.
En cuanto a la versión 0.8.x no hay que hacerlos tal como se explica es suficiente, si tienes algun problema con el squid o alguna relacionado, me he topado con muchas personas que tienen script de iptables que hacen flush de reglas en la cadena mangle lo cual interfiere con las reglas de mangle del htb-gen, deben ver todas las opciones antes de decir NO FUNCIONA.

donde aca
http://www.ecualug.org/2007/08/22/comos/como_controlar_el_ancho_de_banda_usando_htbgen
el htb-gen funciona correctamente, algo lo tienes mal configurado es todo
sobre lo del ares y demas malavares y p2p software.. la solucion es mas complicada de lo esperado hay algunas alternativas como ipp2p (aunque ya no hay soporte) y la mejor q es implementar layer7 claro eso es mas complejo

Con tan solo 20 users no deberia darte problema el htb-gen yo lo tengo en una red de casi 200 users y va bien...

Seguí todos los pasos del

Imagen de xime

Seguí todos los pasos del como, el htb-gen me funciona bien en la bajada, y es la version 8 q deberia andar bien, con todo voy a revisar nuevamente todo, algo se me debió pasar como dice la aclaración.

Sabe algo de cómo limitar el numero de conexiones por ip?

Se me ocurre, bien si quieren descargar q lo hagan, pero no q descarguen, q navegen, tengan el msn, con 20 ventanas de conversacion mas una radio online...

Por eso quiero limitar el numero de conexiones, al menos a una ip q es la q mas conflicto me está dando.

Muchas gracias

http://poquiblog.blogspot.com/

Eso si lo hago, pero igual

Imagen de xime

Eso si lo hago, pero igual con el resto de cosas siguen consumiendo ancho de banda, el ares es el que mas me perjudica :sick: .

Gracias por los comentarios

http://poquiblog.blogspot.com/

pero ya te dije si quieres

Imagen de falcom

pero ya te dije si quieres bloquear al ares y los prg p2p debes implementar layer7, para lo de limitar el numero de conexiones prueba con esto a mi me ha funcionado

#acl 2conips src "/home/ruta/ips.conf"
#acl 2conex maxconn 3
...
#http_access deny 2conex 2conips

con esto si tineen mas de 3 ventanas levantadas solo les llega a 3

Para limitar por maxconn

Imagen de skypower

Para limitar por maxconn debes hacerlo de la manera que muestro a continuacion, la cual fue supervisada por deathuser, y evita algunos trucos...


acl redlocal src 192.168.0.1-192.168.0.100
acl file urlpath_regex -i \.avi.*$ \.asf.*.*$ \.asx.*$ \.mp4.*$
acl maxconfile maxconn 4

http_access deny file maxconfile
http_access allow redlocal
http_access deny all

Algunos links para que valores:
http://www.ecualug.org/2008/07/24/comos/optimizar_squid_delays_pools
http://www.ecualug.org/2009/07/15/forums/squid_vulnerable#comment-43586

ecualug
______________________
!!!AdminRed_Debian!!!

hola deshabilita el squid y

Imagen de maxstoro

hola deshabilita el squid y da navegacion con un firewall nat y veras que comtrola la subida yo tengo el mismo problema pero si detengo el squid y uso solo el htb_gen y el firewall funciona ok controla subida y bajada mmmm no es la solucion pero te permite controlar tanto subida y bajada yo uso el htb_gen 0.9.1 y va muy bien