如何禁用网络中的“迅雷”呀？

memory

哈，这么老的帖子也给翻出来了！
新版l7-filter协议定义文件中已包含有xunlei，直接使用就是了。
唉，要是iptables能够方便的限制并发数就好了。

faint

用-m connlimit和-m limit试试啊。

iptables -I FORWARD -p tcp --syn -m connlimit --connlimit-above 20 -j DROP

iptables -I FORWARD -p udp -i eth0 -m state --state NEW -m limit --limit 15/minute --limit-burst 15 -s $BADIP -j ACCEPT
iptables -I FORWARD -p udp -i eth0 -m state --state NEW -s $BADIP -j DROP

memory

debian下默认安装的iptables没有编译connlimit模块。我自己编译的在使用过程中总出问题，只要加入connlimit规则kernel就崩溃，我都郁闷了。不知faint兄是怎么弄的，能介绍一下吗？
再有，linux的iptables conntrack中总残留很多死而不僵的连接，肯定会影响并发数的控制。除了减小tcp的连接时间外，还有没有其它解决办法呀？

vivo

memory越来越厉害了。

faint

发现新版l7-filter协议定义文件中的xunlei不起作用，照样能狂下。

我在debian下的内核和iptables都是用官方的，而不是通过apt-get source 下载的;-)，编译connlimit模块没有问题。conntrack的问题我也不知道如何处理，我反正是限制每个ip的连接数。

再结合tc一般能很好地控制了。

faint

Post by vivo
memory越来越厉害了。

哈哈，memory一直都是厉害的啊！:%

Lssac

TC限制就可以了。
用shorewall 防火墙软件最容易设置。

elsove812

Post by Yuri
可以让内网的用户的带宽平分啊.
tc可以解决大部分问题

这个想法也是我要说的，不知道交换机上能设置每个端口的带宽吗？好像能啊？查查cisco的说明文档？

kombat

说实话,做网管.有时也不能得罪人还是做流量限制或者进程限制.让他能用但是很慢就可以了.

faint

Post by memory

再有，linux的iptables conntrack中总残留很多死而不僵的连接，肯定会影响并发数的控制。除了减小tcp的连接时间外，还有没有其它解决办法呀？

可以看/proc/sys/net/ipv4/netfilter下的各种timeout文件，估计会提高不少。:%