Re: [tanya-jawab] tanya maxconn squid / iptables limit

[pak kumis]

procedure penulisan maxcon memang rada aneh, 

http_access deny connlimit wks1
deny akses bila koneksi dari wks1 mencapai 10
jadi deny dulu baru di allow
http_access deny connlimit wks1
http_access deny connlimit wks2
http_access deny connlimit wks3
http_access allow wks1
http_access allow wks2
http_access allow wks3
http_access deny all
-pak kumis-
----- Original Message ----- 
From: "wawan bahtiar" <[EMAIL PROTECTED]>
To: <tanya-jawab@linux.or.id>
Sent: Tuesday, May 10, 2005 8:55 AM
Subject: Re: [tanya-jawab] tanya maxconn squid / iptables limit

kalau ini nya di ubah ..
http_access allow connlimit wks1
http_access allow connlimit wks2
http_access allow connlimit wks3
..
..
http_access allow connlimit wks20
http_access deny all
testing lagi
On 5/10/05, Arief Yudhawarman <[EMAIL PROTECTED]> wrote:
Hai milisers,
Ada rekan-rekan yg punya contoh untuk membatasi banyaknya tcp koneksi
ke squid proxy server dr ip client. Saya bermaksud untuk membatasi
banyaknya koneksi ke squid (proxy transparent) dengan maksimum 10 koneksi
per ip. Rulenya sudah dibuat tapi gagal:
squid.conf:
  ...
  acl connlimit maxconn 10
  acl wks1 src 192.168.0.1/255.255.255.255
  acl wks2 src 192.168.0.2/255.255.255.255
  ...
  acl wks20 src 192.168.0.20/255.255.255.255
  http_access allow connlimit wks1 wks2 ... wks20
  http_access deny all
squid kemudian direconfigure, akibatnya malah saya ndak bisa browsing
(pada saat itu trafiknya lagi lumayan ada beberapa user yg browsing).
Saya pernah baca tapi lupa dimana, bahwa connlimit di squid itu hanya
berlaku untuk semua ip di bawah 1 subnet (?), atau jumlah koneksi tetap
10, bukannya spt yg saya harapkan di atas yakni 10 x 20 = 200 koneksi.
Alternatif lain mungkin pakai iptables.
Tapi saya agak bingung juga makainya karena squidnya bekerja sebagai
proxy transparent. Semua reques dr client ke port 80 secara transparent
akan di redirect ke port squid.
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp \
   -m tcp --dport 80 -j REDIRECT --to-ports 3128
Berarti kalau pakai iptables pembatasan atau limit koneksi ke port 80
harus dilakukan pada chains INPUT, CMIIW. Saya sudah buat rule spt ini:
for IP in 1 2 .. 20
do
  /usr/sbin/iptables -A INPUT -i eth0 -s 192.168.0.$IP -p tcp --syn \
     -m limit --limit 1/s -j ACCEPT
done
Tapi tetap saja saat ada client yg nakal yg entah pakai program apa bisa
membuat koneksi pakai squid jadi lelet karen jumlah maksimum tcp koneksi
yg establish yg dibuat user tsb sekitar 70-an.
Mohon tanggapan rekan-rekan milisers.
TIA
~yudi
--
Unsubscribe: kirim email kosong ke [EMAIL PROTECTED]
Arsip, FAQ, dan info milis di http://linux.or.id/milis
Tidak bisa posting? Baca:
http://linux.or.id/problemmilis
http://linux.or.id/tatatertibmilis

--
Unsubscribe: kirim email kosong ke [EMAIL PROTECTED]
Arsip, FAQ, dan info milis di http://linux.or.id/milis
Tidak bisa posting? Baca:
http://linux.or.id/problemmilis
http://linux.or.id/tatatertibmilis
--
Unsubscribe: kirim email kosong ke [EMAIL PROTECTED]
Arsip, FAQ, dan info milis di http://linux.or.id/milis
Tidak bisa posting? Baca:
http://linux.or.id/problemmilis
http://linux.or.id/tatatertibmilis