Blokace Googlem

knedlik

Tento týden se nám toto objevilo v síti. Lze s tím něco dělat??<--- ia0 -->google-vir.JPG<--- ia0 -->

hatatitla

Koľko ľudí NATuješ pod jednu IP ?? Toto sa stáva ak máš príliš veľký počet dopytov na google z jednej IP

knedlik

cca 400, je to už moc??

hatatitla

Jasne ja dávam max 100 ľudí pod jednu verejnú. Nemusí sa ti to stať ani pri 1000 pod jednou , ale to je skôr náhoda že pri takom počte ta google neblokne.

EDIT : tento problém sa netýka len google ale aj ICQ, SKYPE , amil servery ta môžu začať považovať za spamera , atd. atd.

net_work

ono, vem si ze to muze zpusobovat i daleko vetsi problem nez jen blokace googlu... na kazdou IP muze mikrotik vytvorit max. tusim nejakych 65tisic spojeni = 65tisic portu... pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty... kdyz nekdo jede pres torrent neni problem otevrit treba 300-400 spojeni... kdyz vezmes v potaz ze mas 400 lidi a 10% lidi bude takhle stahovat, tak jen ciste 40 lidi ti vybere 12 tisic portu ;) ;)

takze reseni - co subnet to NAT 1 na verejnou IP...

zero

ono, vem si ze to muze zpusobovat i daleko vetsi problem nez jen blokace googlu... na kazdou IP muze mikrotik vytvorit max. tusim nejakych 65tisic spojeni = 65tisic portu... pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty... kdyz nekdo jede pres torrent neni problem otevrit treba 300-400 spojeni... kdyz vezmes v potaz ze mas 400 lidi a 10% lidi bude takhle stahovat, tak jen ciste 40 lidi ti vybere 12 tisic portu ;) ;)

takze reseni - co subnet to NAT 1 na verejnou IP...

ja teda nevim, ale zda se mi jako nesmysl, ze pocet otevrenich spojeni=pocet otevrenych portu. Bezne u uzivatele s public ip, co ji ma az primo na PC a povoli si urcitej port ve Win na FW, tim padem se dostane do toho tzv.Active rezimu, tak ty spojeni mu jedou na tom jedinym portu. Pokud se mylim, opravte me nekdo...

net_work

ono, vem si ze to muze zpusobovat i daleko vetsi problem nez jen blokace googlu... na kazdou IP muze mikrotik vytvorit max. tusim nejakych 65tisic spojeni = 65tisic portu... pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty... kdyz nekdo jede pres torrent neni problem otevrit treba 300-400 spojeni... kdyz vezmes v potaz ze mas 400 lidi a 10% lidi bude takhle stahovat, tak jen ciste 40 lidi ti vybere 12 tisic portu ;) ;)

takze reseni - co subnet to NAT 1 na verejnou IP...

Ja mam pocit, ze pokud provadis NAT pro vice adres, tak logicky nemuzes mit otevrene spojeni /napr. pro icq/ na stejnem portu... tudiz kazdy PC (nechme jako priklad to icq) ma otevrene spojeni na stejnou IP ale na jinem portu === muze dojit k nedostatku portu.....

zero

ono, vem si ze to muze zpusobovat i daleko vetsi problem nez jen blokace googlu... na kazdou IP muze mikrotik vytvorit max. tusim nejakych 65tisic spojeni = 65tisic portu... pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty... kdyz nekdo jede pres torrent neni problem otevrit treba 300-400 spojeni... kdyz vezmes v potaz ze mas 400 lidi a 10% lidi bude takhle stahovat, tak jen ciste 40 lidi ti vybere 12 tisic portu ;) ;)

takze reseni - co subnet to NAT 1 na verejnou IP...

pokud se divas na dst-port z pohledu klienta, tak ten (podle me) bude vzdy stejnej. Pokud se divas na klientuv scr-port, tam uz si tak jistej nejsem :-)

hapi

mění se zdrojovej port při navazování spojení. Cílovej logicky musí bejt stejnej. To samí dělá i klientskéj počítač při navazování, taky střídá porty postupně za sebou aby se nestalo že se to otevře ještě jednou. To by byl pak asi průser.

net_work

mění se zdrojovej port při navazování spojení. Cílovej logicky musí bejt stejnej. To samí dělá i klientskéj počítač při navazování, taky střídá porty postupně za sebou aby se nestalo že se to otevře ještě jednou. To by byl pak asi průser.

samozrejme - mysleno z pohledu serveru - meni se vzdy zdrojovy port na stroji kde se provadi NAT... tzn klient posle ICQ zpravu, ta "dorazi" az na NAT, tam se posle na xxx.xxx.xxx.xxx s tim ze v hlavicce packetu bude ze packet pochazi z IP yyy.yyy.yyy.yyy... Pokud zacne komunikovat dalsi klient, tak to bude stejne s tim ze v hlavicce packetu bude zdrojova adresa yyy.yyy.yyy.yyy treba... ZJEDNODUSENE RECENO, samozrejme.... ;)

zero

mění se zdrojovej port při navazování spojení. Cílovej logicky musí bejt stejnej. To samí dělá i klientskéj počítač při navazování, taky střídá porty postupně za sebou aby se nestalo že se to otevře ještě jednou. To by byl pak asi průser.

jasan, to jsem si nerozumneli :-) ja to nejak vztahnul na verejnou ipku + jednoho usera :

knedlik

pokud spojeni nijak neomezujes tak ti (v pripade nejakeho liboveho torrentu s vice stahujicim uzivateli) proste dojdou porty...

Počet spojení omezuji... kam bych došel, kdybych neomezoval... zbytečně veké zatížení serveru, kvůli mnoha spojení(teda alespoň si to myslim).

Spíš mě to ani jaksi netrklo, že počet požadavků na google může být relativně velký z jedné IP. Už jsem rozsahy rozhodil mezi několik veřejných, tak snad už to bude ok.

Každopádně díky všem za radu.