一点疑惑,请指点,谢谢
请问panabit与我现在使用的pf这条规则有何优点,谢谢pass in quick on $int_if from $int_if:network to any keep state (max 20000 source-track rule, max-src-nodes 800, max-src-states 80, tcp.established 60, tcp.closing 5) 说句实话,不知道怎么比较。
Panabit和pf面向不同的领域。
管理员太谦虚了
管理员太谦虚了。还是我这个受益者来说2句吧!如果是为了限制上网带宽,pf的这条语句基本没用。
因为panabit文档中已经把这个语句的局限性说得很明白了,此语句的一般后果是,要么达不到限制带宽的效果(800个IP,每IP80连接,对迅雷等来说够宽裕了),要么就是这些连接全部被下载/上载占用,导致正常网页都打不开。这个我有体会的。
所以,才需要panabit。
新技术发展太快,pf都跟不上时代的步伐了,需要努力啊——我还是很喜欢pf的,希望他与时俱进。
[ 本帖最后由 whxw99 于 2007-11-16 08:58 编辑 ] 学习了,也就是说Panabit还可以用了。
呵呵,我刚刚安装了第二台Panabit,计划部署到我们另外一个办公去的网络中。 但是链接数还是要限制的否则一开p2p软件就会超过panabit的上限,变成无法统计的部分了。这样后期视图看起来还是会怪怪的呢。开im软件和正常的上网连接数一般在30左右。 现在最大的网络问题是p2p软件对tcp协议80端口的疯狂利用。在这个情况下,本来设想很好的限制连接数的方法就成了鸡肋。 利用就利用被。想法不要太死板这是个综合的东西做了流量整形并不代表传统防火墙的应用就不重要。
要不然为什么要有路由器、防火墙、还有流量整形类的应用同时存在呢?
不是说我们在用新的方法的同时就舍弃传统的基本限制。
有很多时候连接数限制,ip限速处理还有流量整形是要同时存在的。
还有p2p协议无法伪装成http利用80端口的这部分是会被识别出来的至少panabit会识别出正常的http协议。连接数限制和端口无关。 你可以设置成总的连接数限制不要局限在80上。
页:
[1]