※ 引述《akirakid (子連れ狼ー仔貓篇)》之銘言： : 先說一聲感謝 m(_ _)m : 因為房客好像要搬家了, 不管怎麼貼字條公告就是拼命用 : 迅雷抓檔外加中一堆毒, 只是D-link DIR 300一直當機燈 : 號全亮, 我也沒辦法有LOG之類的證據來拔他線 Q_Q : 緊急拿了舊賽揚裝上BrazilFW上機, 不過既不瞭解Linux : 系統也沒辦法多一些時間做實驗就上機了... : 我使用的是BrazilFW 2.318 : 想請問的問題1. : BrazilFW中的子網路切割那邊可以設定其中一個內部IP的 : 最大/最小/保證頻寬, 它那10.10.0.1(預設?)的子網路遮 : 罩預設是30, 我應該把它那個IP設成我要加以限制的一台 : 電腦的內部IP嗎?它的子網路遮罩要改嗎?要改成多少呢? : 我不知道它那個子網路遮罩是什麼跟要怎麼設 +_+ 不是很清楚這邊在設定的是哪個部分, 不過30的意思應該就是255.255.255.252, 依上述的設定來說就是指10.10.0.0~10.10.0.3這個網段, 如果你想要限制某個IP的話,應該可以設定成192.168.1.2/32這樣. : 想請問的問題2. : 底下這篇文章它的指令部份應該要放在BrazilFW的哪裡呢? : 我是看到layer7的字樣把它放到防火牆底下, 用==把像是 : 擋BT之類的說明rem掉保留然後用web連進管理模式貼到防 : 牆的規則下新增, 不過新增完點OK後只看的到剩下iptables : 之類文字的第一句, 我想或許我放錯了, 正確的作法應該 : 是?寫在會一開始自動載入的腳本嗎?或是編輯在 : /etc/rc.d/rc.local 檔中? 只要有執行就好了,在哪邊應該是沒關係. : 另外就是底下的字句中 : "設定 192.168.0.100 的連接數(SESSION)超過1000就不能上網" : 它的指令是只針對192.168.0.100嗎? 若我要限制別的IP或 : 全部的IP我應該在指令中全打上像192.168.0.101, 192.168.0.102 : ....這樣嗎? 這邊要看iptables的extensions有沒有開了(kernel跟userspace), 可以利用iptables -m iprange --help 或 iptables -m multiip --help 查看是否有支援相關指令,一個是設range,一個是隨意設定幾組ip, 如果執行上述的指令時出現 iptables : Couldn't load match.../lib/iptables/.... 的訊息的話, 可以直接ls -l /lib/iptables 這樣就可以看到有支援的extensions了. : ===== : 作者 wheat070201 : 文章日期: 2008-07-26 00:32 : 擋BT : iptables -t mangle -A PREROUTING -m layer7 --l7proto bittorrent -j DROP : iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j DROP : 擋FOXY (連都連不上) : iptables -t mangle -A PREROUTING -m layer7 --l7proto gnutella -j DROP : iptables -t mangle -A POSTROUTING -m layer7 --l7proto gnutella -j DROP : 設定 192.168.0.100 的連接數(SESSION)超過1000就不能上網 : iptables -t mangle -I PREROUTING -p tcp --dport 0:65535 -s 192.168.0.100 -m : connlimit --connlimit-above 1000 -j DROP -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.117.12.223