以下是小编帮大家整理的如何用Netfilter/IPtables限制P2P流量服务器教程(共含7篇),仅供参考,欢迎大家阅读。同时,但愿您也能像本文投稿人“逮月亮的小人儿”一样,积极向本站投稿分享好文章。
今年4月,看到一则报道说尽管某宽带公司现有技术可以容纳的网络用户容量为400至600万用户,可是目前,在容纳了45万用户的情况下,网络已经拥挤不堪,时常出现断网情况,一到上网高峰,网速就会急剧下降,
为何网络会如此拥挤不堪?这是因为自从出现诸如电驴、Kazaa、BT等P2P软件之后,海量的数据文件(如大容量文件交换、视频文件下载等)逐渐占据了大部分的网络带宽。P2P这一新应用给用户带来了前所未有的方便和丰富的资源,但同时也引发了网络带宽和安全问题。
如何在发挥P2P强大功能的情况下对其进行一些必要的限制呢?本文将介绍在Linux中如何利用netfilter/iptables实现对P2P应用流量的限制。
升级内核
由于在公开发布的Linux内核文件中,有关iptables的各种参数里没有关于P2P属性的参数,所以必须通过升级Linux内核和iptables来打上这个补丁,使其支持P2P属性设置,
在具体操作之前,先要了解一下升级内核补丁需要的一些相关软件:linux-2.4.20-8.tar.gz、patch-o-matic-0609.tar.bz2、iptables-1.2.8.tar.bz2、iptables-p2p-0.3.0a.tar.gz和ipp2p-0.5c.tar.gz。
这里的测试环境为Red Hat 9.0,内核为2.4.20-8。由于2.4.*是一个稳定的内核,因此不能把当前开发的一些新功能提交到主内核中去,而只能首先在patch-o-matic中测试,然后打补丁到内核中。在CVS中可以找到最新的patch-o-matic包—Patch-o-matic-20040609.tar.bz2。
有了内核支持后,还需要iptables支持,其中iptables-p2p-0.3.0a.tar.gz为netfilter/iptables组织开发的专门支持P2P的iptables扩展软件包;ipp2p-0.5c.tar.gz为Eicke Friedrich开发的一个支持P2P的iptables扩展包。这两个扩展包各有特色,后面将会分别介绍。
iis|流量
就是直接限制网络流量,这种限制通常是最严厉的一种流量限制,10个g的流量大体支持50人在线以内.当月流量超过后,在一个月内网站都不能正常访问了,解决办法是升级空间或加大流量!二:cpu限制
cpu限制看起来没有限iis或网络流量,但由于每一个程序运行都需要一定的cpu配额,也是变相的流量限制,通常网页显示在线过多都是由于cpu限额过小引起的!通过刷新或15秒后可以得到暂时的正常运行,通常1%的cpu限额相当于20个iis连接!这对于论坛空间很重要,论坛的cpu限额一旦过小就会不能正常运行!
三:iis限制
iis限制是现在用的最多的,也是被大多用户或主机商认可,是唯一宽松的流量限制,通常20个iis就相当于1%cpu占用!
总而言之,虚拟主机实际上没有不限流量的,总的可以分为以上三种方式,您如何选择,要看您的需要,如果您的程序占用cpu很少,是优化的程序可以选择限cpu的,这样您的在线就可以得到最大的发挥,如果您是初学者,或是论坛用户,或网站程序中有bbs,选择iis限制或直接流量限制是一个好的选择!
关于同时连接数与在线人数问题的详解
很多用户对连接数的概念认识都很模糊,现介绍如下:
1、浏览者访问站点,必需与站点通过TCP协议,建立连接,这个连接在从服务器上读取信息时存在,读取结束时,一般即自动关闭。所以,当一个页面已经完全地显示在客户端的显示器上时,使用的连接也许已经关闭了。
2、每个浏览者,访问某站点时,可能会占用1――3个连接,这是由计算机自动处理的,这样做的目的是为了加快速度。
相关问题:所以,对于连接数为30的基础型主机而言,有时只能十几个人访问,就不足为怪了。
3、论坛中统计的在线人数,是以某一时间段内访问论坛的活动人数为标准的,与连接数应无关系。比如动网论坛,默认好象是40分钟内(?记不清了)的活动人数。也许论坛显示某用户还在线,但该用户由于不(正)在读取论坛中页面,所以也就不会占用连接数。
相关问题:
(1)所以,只要浏览者对论坛的访问不过于集中,不会在某一时间点超出最大同时连接数,则论坛中统计的在线人数,会大大超出空间允许的最大同时连接数。
(2)某些用户为了显示论坛的人气,可以在调大论坛统计在线人数的时间范围(动网论坛提供此功能),甚至可以将一天内所有浏览你站点的人,都算作在线人数。
4、虽然服务器中可以规定每个站点的最大连接数,但同时也存在服务器的总计最大连接数。所以,即使规定用户站点的最大连接数为不限,当服务器达到了最大连接数时,仍不能访问站点。而服务器的最大连接数一般在1000――。
相关问题:
(1)这就是为什么服务商敢于开出不限连接数的主机,本质上不是无限连接数的。
(2)西部数码提供的主机,允许连接数均较高,应该可以满足用户需求。
5、现在的主机服务中,有些服务商利用许多人对上述概念模糊,而误导消费者,所以购主机者应谨慎从事
了解什么是IIS连接数
IIS连接数指并发连接数,什么意思呢?
要分几种情况:(以100M空间50人在线为例)
A 用户单点下载你的文件,结束后正常断开,这些连接是按照瞬间计算的,就是说你50人的网站瞬间可以接受同时50个点下载
B 用户打开你的页面,就算停留在页面没有对服务器发出任何请求,那么在用户打开一面以后的20分钟内也都要算一个在线,就是说你50人的网站20分钟内可以接受不同用户打开50个页面
C 上面B的情况用户继续打开同一个网站的其他页面,那么在线人数按照用户最后一次点击(发出请求)以后的20分钟计算,在这个20分钟内不管用户怎么点击(包括新窗口打开)都还是一人在线,
D 当你的页面内存在框架(Iframe),那么每多一个框架就要多一倍的在线!因为这相当于用户同一时间向服务器请求了多个页面。
E 当用户打开页面然后正常关闭浏览器,用户的在线人数也会马上清除。
然后了解什么是论坛在线人数。
论坛在线只是计算一定时间内的活动用户数。
这里的时间用户可以自己设定,动网论坛默认为40分钟的相对准确值。
根据上面的说明,显然论坛在线和IIS连接数的概念不同
为什么会出现IIS连接数和论坛在线不符合的情况?
现具体分析如下:
1:您使用了插件版论坛或者美化版论坛!
现在的插件很垃圾,不但占服务器资源,而且会使论坛运行变慢(没有插件可以快一倍以上),同时很占在线人数,有的插件调用很多框架,少则2、3个,多则4、5个! 甚至有在线播放音乐,这样一个人在线就相当与很多人在线!而美化版论坛因为使用大量的图片,也同样比标准版论坛占用IIS数量大。
2:您的网站是主页+论坛的形式!
这样主页和论坛要争夺你的在线人数!
3:你的论坛内部有播放器!
一个人在线,然后他在线播放音乐,就占二个人在线!
4:你的论坛内部存在框架形式的网页!
每一个框架,就多一倍的在线!
5:你的论坛设置在线时间过小!
动网默认为40分钟,因为论坛在线只是计算一定时间内的活动用户数,当您设定的时间较小的时候,看起来论坛在线的人数就自然少了!
6:你的空间存在多个论坛!
有的客户在一个空间里上传多个论坛,如bbs bbs1 bbs2 等等 等等
毫无疑问,这样个论坛也是要争夺再线人数的!
7:你的论坛图片等文件被人盗链!
比如:你的论坛有张图片文件,被粘贴(注意是粘贴不是上传)到别的论坛!
别的论坛的用户在浏览该文件的时候也算一个在线人数!
尤其是LOGO连接的时候注意,一定要对方把您的LOGO上传到他的空间!
8:你的空间上放有下载文件!
如果用户用网络蚂蚁类的软件,每一个线程就表示一个在线,非常厉害!
――――――――――――――――――――――――――――――――――
解决办法:
1:去掉垃圾的插件版,用标准版!
2:尽量不要采用框架的形式制作页面!
3:不要放任何的音乐、电影、下载!
4:防止盗连情况的发生!
5:升级购买支持更多在线人数的空间!
新浪科技讯 北京时间8月2日消息,据国外媒体报道,美国联邦通信委员会(以下简称“FCC”)周五裁定,Comcast限制P2P流量的行为违反了联邦政策,责令其改变管理自身网络的方式,
FCC周五以三票支持、两票反对的结果通过了一项政策,旨在确保互联网用户的“开放接入”。
FCC并未对Comcast施以罚款,只是责令其在年底前停止限制P2P流量的行为,此外还要求该公司必须向FCC提供曾使用过的管理技术细节及向用户通告其未来计划细节,
Comcast表示,该公司行为正当合理,指出它只是延迟流量,并未阻塞流量。公司发言人希娜·菲茨莫里斯(Sena Fitzmaurice)发表声明称,Comcast对“FCC的裁定感到失望,因为我们相信自己选择了正当的网络管理方式。”
Comcast称,FCC所谓的网络中立性原则是一份政策声明的部分内容,而不是可实施的规定。FCC则指出,网络中立性原则“以正当的网络管理为条件”。
共和党人、FCC主席凯文·马丁(Kevin Martin)提议对Comcast实施处罚,民主党人、FCC委员乔纳森·阿德斯特恩(Jonathan Adelstein)和迈克尔·考伯斯(Michael Copps)投票支持,共和党人、FCC委员罗伯特·迈克多维尔(Robert McDowell)和戴伯拉·泰勒·塔特(Deborah Taylor Tate)则投票反对。
本文主要介绍如何使用iptbales实现linux2.4下的强大的NAT功能,关于iptables的详细语法请参考“用iptales实现包过虑型防火墙”一文。需要申明的是,本文绝对不是 NAT-HOWTO的简单重复或是中文版,在整个的叙述过程中,作者都在试图用自己的语言来表达自己的理解,自己的思想。
一、概述
1. 什么是NAT
在传统的标准的TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发,路由器并不会对转发的数据包进行修改,更为确切的说,除了将源MAC地址换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的ip地址、源端口、目的端口进行改写的操作。
2. 为什么要进行NAT
我们来看看再什么情况下我们需要做NAT,
假设有一家ISP提供园区Internet接入服务,为了方便管理,该ISP分配给园区用户的IP地址都是伪IP,但是部分用户要求建立自己的WWW服务器对外发布信息,这时候我们就可以通过NAT来提供这种服务了。我们可以在防火墙的外部网卡上绑定多个合法IP地址,然后通过NAT技术使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上,然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。
再比如使用拨号上网的网吧,因为只有一个合法的IP地址,必须采用某种手段让其他机器也可以上网,通常是采用代理服务器的方式,但是代理服务器,尤其是应用层代理服务器,只能支持有限的协议,如果过了一段时间后又有新的服务出来,则只能等待代理服务器支持该新应用的升级版本。如果采用NAT来解决这个问题,
因为是在应用层以下进行处理,NAT不但可以获得很高的访问速度,而且可以无缝的支持任何新的服务或应用。
DDOS最近很疯狂
Apache 中有防止DoS攻击的模块mod_evasive,lighttpd中也可以用mod_evasive来限制并发连接数防止DDOS攻击
在lighttpd.conf中添加如下代码来启用mod_evasive,对于zip,mp3等文件下载不启用此限制,否则用户下载文件超过2个的时候会弹出网站无法连接窗口,影响用户体验。
server.modules = (
……
“mod_evasive”
……
);
$HTTP[“url”] =~ ”\.(zip|mp3|mp4|rar|pdf)$” {
evasive.max-conns-per-ip = 2
}
如果要限制流量,可以做如下设置:
#此参数默认值为0,表示无限制
connection.kbytes-per-second = 128
……
$HTTP[“host”] == “您的域名” {
server.kbytes-per-second = 128
}
重启lighttpd 生效,
也可以在系统级别上限制连接数:
在/etc/systcl.conf里面加入
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
再执行systcl -p
用路由器限制局域网的带宽流量
有时在上班的时候,带宽并不是很高,但又因个别人过量占用带宽导致其它人正常上网的速度都很慢,正常的工作都无法开展,所以对局域网内主机带宽流量的管理就必不可少了,
公司并不是很多的电脑,且预算不是很多的,可能需要借助现有的硬件设备了,
下面我们就从路由器入手来限制局域网主机的带宽。
这里以TP-LINKTL-R504M为例说说限制上网的步骤。
一、取得局域网内所有使用者的IP与MAC地址
取得IP的方法很多,推荐用“局域网查看工具”,网上随便搜索一下就有了,
取得MAC地址的方法:WIN+R,输入CMD,用“NBTSTAT-AIP地址”查看
取得自己电脑IP与MAC的方法:WIN+R,输入CMD,用“IPCONFIG/ALL”查看
二、登陆宽带路由器
打开IE,输入192.168.1.1(一般都是这个…),不知道的可以看看路由器反面有标示。
账号:默认ADMIN
密码:默认ADMIN
登陆后会出现宽带路由器的设置页面,里面有很多设置功能如:限制QQ软件、限制某在线视频
限制多少端口等等吧。
Exchange 2007是一款与过去版本有所不同的产品,其中可能有一些限制需要根据企业环境进行修改,邮箱可接收的最大邮件上限就是需要修改的变量之一。
Exchange 2007中对所接受的邮件大小的限制是通过Exchange内安装的不同SMTP接收连接器进行控制的。Exchange 2007带有两个默认SMTP 接收连接器,客户端SMTP 接收连接器和默认SMTP接收连接器。请记住,如果您的Exchange 2007与Exchange 2000或2003共同使用,您可能要根据从其他服务器上发往基于Exchange 2007的邮箱的情况管理SMTP接收连接器。否则您就需要修改默认接收连接器的设置(假设你已经将连接器设置为可接收匿名邮件),或者对于特殊的接收连接器,您需要将其设置为允许接收来自互联网的邮件,
无论以上哪种情况,Exchange 2007中MaxMessageSize参数的默认值都是10M,也就是我们需要调整的参数。如果您想了解您的Exchange中全部SMTP接收连接器的MaxMessageSize参数值,可以启动使用命令行进行管理的Exchange Management Shell,然后使用以下语句:
get-receiveconnector |选择identity,maxmessagesize
图A中的输出结果显示了结构中的三台Exchange服务器,所有已经安装的SMTP接收连接器的最大值都是10MB。
图A 六个SMTP 接收连接器的最大信件值都是10MB。
现在,比如说我们要将这个值提高到30MB,可是使用set-receiveconnector:
set-receiveconnector “连接器名称” -maxmessagesize 30MB
如我前面所提醒的那样,请确保命令所针对的连接器的确是你要修改的那个接收连接器。
