Erlaubt nur bis zu ca. 300 Verbindungen/IP

itsUPC · 2021-12-27T14:55:35+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

itsUPC

Das, was ich derzeit versuche, ist mittels iptables ein Limit zu setzen. Tor braucht TCP, trotzdem scheint Tor Verbindungen herzustellen können, obwohl ich ein Limit gesetzt habe (iptables). Ich vermute, dass UFW etwas damit zu tun hat. Muss jetzt schauen, ob es geht, habe UFW nämlich deaktiviert.

itsUPC

Iptables scheint nur mit tiefen Werten wie 15 zu funktionieren. Ein Wert wie 2000 wird ignoriert, scheint es!
Ich habe nämlich erfolgreich ein Limit von 15 gesetzt. Das Limit, 2000, das ich gesetzt hatte hat nicht funktioniert.

GrandDixence

itsUPC
Und wie soll man da weiterhelfen?

Die Ausgabe von:

$ iptables -t filter -L -n -v
$ ip route list
$ ip addr show
$ more /etc/sysctl.conf
$ sysctl net.netfilter.nf_conntrack_tcp_loose

hier VOLLSTÄNDIG veröffentlichen. Siehe auch:
https://stackoverflow.com/questions/25678193/iptables-connlimit-doesnt-work

Und dann das Arbeiten mit der Firewall-Verbindungszustandstabelle kennen lernen:

$ conntrack
$ man conntrack

itsUPC

Dies ist nicht das Problem. Ich kann erfolgreich Tor auf 15 Verbindungen mit diesem Befehl limitieren, jedoch nicht mit 2000.

..[root@macubuntu] - [/home/france1] - [Do Jan 06, 04:30]
..[$] <( (git)-[master]-)> iptables -t filter -L -n -v
Chain INPUT (policy ACCEPT 82M packets, 64G bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:35565 flags:0×17/0×02 #conn src/0 > 15 reject-with tcp-reset

Chain FORWARD (policy ACCEPT 278K packets, 128M bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 80M packets, 66G bytes)
pkts bytes target prot opt in out source destination

..[root@macubuntu] - [/home/france1] - [Do Jan 06, 04:33]
..[$] <( (git)-[master]-)>

IP Addr Show: enx00116b680895
IP Route List: default via 192.168.0.1 dev enx00116b680895 proto dhcp metric 100

Sysctl.conf keine spezielle Konfiguration

net.netfilter.nf_conntrack_tcp_loose = 1

Ich sehe keinen Grund, bei einer bereits existierender, gelöster Frage dort was zu posten.

Ich habe ein Skript geschrieben, das bei einer bestimmten Anzahl an Verbindungen ein Limit für den Port 35565 setzt, welches zu funktionieren scheint. Bin mir aber nicht 100%-ig sicher.

itsUPC

Es funktioniert. Tor Problem halb gelöst. Router Problem NICHT gelöst.

GrandDixence

Chain INPUT (policy ACCEPT
=> Aua, das tut weh!
https://linux-training.be/networking/ch14.html

Ich werfe das Handtuch…

… bei soviel Unwissen (in Kombination mit Leseschwierigkeiten) ist nur das Vorgehen gemäss meinem Beitrag vom Montag 03.01.2022 19:43 Uhr zu empfehlen!

Wenn man keine Ahnung hat, wie ein Linux als Router und Firewall für ein Tor Relay zu konfigurieren ist (noch wichtiger: zu optimieren ist), dann sollte man besser vom Betrieb eines Tor Relay absehen.

itsUPC

Bitte beachte, dass diese Konfiguration richtig ist. policy=ACCEPT, damit Packete weitergeleitet werden, dann die Regel für Tor, damit solche blockiert werden. Ich würde, wenn ich dich wäre, nochmal über die Bücher gehen.

Zusätzlich noch: Heute ist das Tor Relay nicht an meinem langsamen Internet schuld, oder es braucht extrem lange, bis der Router sich erholt hat. Ich bin mir nicht sicher, ob der Router oder UPC selber das problem ist.

Mein Skript scheint zu funktionieren, deshalb ist das Problem mit Tor halbwegs gelöst. Jedoch ist das Problem mit dieser niedrigen Zahl an Verbindungen, die maximal aktiv sein können, immer noch nicht gelöst. Speedtests spielen dabei keine Rolle, ich habe durchschnittlich mehr als die Hälfte der Upload-Geschwindigket nicht verwendet, wenn normaler Netzwerkverkehr herrscht und das Relay am laufen ist. Punisher

pato

Wie gesagt, die Connect Box kommt an den Anschlag, da kannst du nichts machen. Hinzu kommt, TOR benötigt alle Verbindungen um korrekt zu funktionieren, mit deiner Limitation produzierst du eine halb-defekte Node im TOR Netz.
Was ich nicht sicher bin, ob nun trotzdem alle existierenden Nodes mit dir verbinden wollen, was trotzdem zum gleichen Problem führt.
Die einzige Variante zu testen ob es daran liegt, ein PC direkt während dem Problem an der Connect Box anhängen und schauen ob das Webinterface sehr langsam ist, falls es überhaupt lädt.
Ich konnte es schlussendlich effektiv nicht lösen und musste meine TOR Node abschalten.

itsUPC

@pato ganz sicher ist der Router das Problem, da alles normal funktioniert, ausser das Internet. Hab’s aufgegeben und werde später was wie Init7 verwenden.

« Vorherige Seite