Ограничение количества tcp и udp соединений на пользователя

[lasik]

Собсна вопрос, как сделать ограничение на количество tcp и udp соединений на 1 подключение.

имеем сервер под управлением 7,2 фри, и мпд 5,3.

кто что может по этому поводу подсказать?

[lasik]

вроде откопал
tcp

Код: Выделить всё

ipfw add allow tcp from 172.20.0.0/16 to any via fxp1 setup limit src-addr 10

для сетевого интерфейса смотрящего в юзеров и имеющего имя fxp1, и выдающего ипы 172.20.0.0/16 будет ограничено количество tcp соединений до 10 штук
upd

Код: Выделить всё

ipfw add allow udp from 172.20.0.0/16 to any via fxp1 setup limit src-addr 10

для сетевого интерфейса смотрящего в юзеров и имеющего имя fxp1, и выдающего ипы 172.20.0.0/16 будет ограничено количество upd соединений до 10 штук

Ежели я где не прав, прошу подправить, что бы проблем не было )

[vc_]

а зачем?
отсечь роутеры?

[lasik]

смех и грех, вышестоящий пров обрезал количество соединений )

И такой вопрос, сколько соединений комфортно для юзера, если отсечь торретны и осликов ?

[vc_]

порядка 50-200. если верить микротику - онлайн из порядка 100 пользователей (по большей части чайников) гонит где-то под 4-5 тыс сессий.
кажется из оперы количество сесий раза в два больше чем из эксплорера.
часто каждый банер уже сессия или две. а на страничках их порой мульен.
сейчас тяжело найти кто смотрит в одну страничку - а в мазиле или опере имеют дурную привычку не закрывать вкладки.

[lasik]

просто на сетку в размере 200 юзеров, с среднем онлайном в 50 человек, срезали соединения до 10 000 каждого типа

[vc_]

10000 при онлайне 50 человек, по идее можно и не резать сессии.
имхо, вы пытаетесь вообще зарезать сесии на интерфейсе, что не решит вашу проблему, а напротив добавит много новых.
как зарезать индивидуально - я не знаю. попробуйте на фришных форумах поднять сей вопрос.

[lasik]

пару запущетых осликов и торрентов, и все, нет этих 10 000 соединений

[vc_]

сейчас скачать по-моему только через торенты и можно.
у нас и юзеров и онлайн повыше - однако такого количества сесий нет и в помине.
хотя может врет микротик

[sopov]

Вобще правило ipfw можно передать используя радиус атрибуты. Но есть ли смысл тратить ресурсы на это? Мой вам совет - лучше дергайте от такого прова к нормальному магистралу.

[lasik]

да проблема в том, что нету другого пока (
а выжить до марта нужно

[ran]

Вобще правило ipfw можно передать используя радиус атрибуты. Но есть ли смысл тратить ресурсы на это? Мой вам совет - лучше дергайте от такого прова к нормальному магистралу.

ваще-то ежли маскрад то таблица трассировщика соединений в ядре маскирующего рутера всё равно не безразмерная... а вот разумные тайм-ауты на неактивные соединения в параметрах ядра выставить можно как в линухе - знаю, думаю что и в бзде можно