Сеществует открытая сеть, в нее продаеться интернет.
Есть подозрения на перепродажу инет трафика внутри сети.Единственное решение это ограничение количества сессий,
к сожелению(моему)не могу сделать сам что-то достойное.может кто-то сталкивалса с этим?
proxy не подходит.
FreeBSD 6.2
>Сеществует открытая сеть, в нее продаеться интернет.
>Есть подозрения на перепродажу инет трафика внутри сети.
>
>Единственное решение это ограничение количества сессий,
>к сожелению(моему)не могу сделать сам что-то достойное.
>
>может кто-то сталкивалса с этим?
>
>proxy не подходит.
>
>
>FreeBSD 6.2
вопрос несколько обстрактный,
я настроил свой комп как шлюз, открыл сессию.
как ты меня ограничишь?
если я нуб, ни чего не смыслю в трафиках, сессиях, протоколах, сетях и т.д.
но за деня раз 20 открывал и закрывал сессию, как в этом случае?Х.З. как тебе ответить, трафик-то всё равно оплачивают
не воруют же
кромен того, если делать ограничение на число сессий, это надо указывать в договоре.
а что тут такого!? Я сам подключен к провайдеру и соседей черзе себя в инете выгуливаю... Кому от этого плохо? Пусай подключают - тебе ведь только лучше! Больше заработаешь, меньше кабельное хозяйство.
>а что тут такого!? Я сам подключен к провайдеру и соседей черзе
>себя в инете выгуливаю... Кому от этого плохо? Пусай подключают -
>тебе ведь только лучше! Больше заработаешь, меньше кабельное хозяйство.
провайдеры обычно считают что теряют выгоду от абонентской платы и от того, что "вскладчину" обычно берут тариф с более дешевой стоимостью трафика.
>>а что тут такого!? Я сам подключен к провайдеру и соседей черзе
>>себя в инете выгуливаю... Кому от этого плохо? Пусай подключают -
>>тебе ведь только лучше! Больше заработаешь, меньше кабельное хозяйство.
>
>
>провайдеры обычно считают что теряют выгоду от абонентской платы и от того,
>что "вскладчину" обычно берут тариф с более дешевой стоимостью трафика.
э.ать, это опеннет? или форум базарных баб?
вопрос кто-то читал?
>э.ать, это опеннет? или форум базарных баб?
>вопрос кто-то читал?
я внимательно прочитал... понял что тебе как раз на форум баб базарных и надо ;)
как на счет - плохо не пахнуть, а гугль открыть ? не ?>может кто-то сталкивалса с этим?
>proxy не подходит.
>FreeBSD 6.2
ты бы еще модель корпуса указал, в котором сервер/нас/шлюз собран... главное - fw какой ?
хинт: для разных пакетных фильтров, разные методы(синтаксис) обрезки кол-ва соединений ;)
зы: клиенты у вас, видимо, не разбалованные... от нас бы сразу спрыгнули, еслиб мы начали резать сессии
>Сеществует открытая сеть, в нее продаеться интернет.
>Есть подозрения на перепродажу инет трафика внутри сети.
>
>Единственное решение это ограничение количества сессий,
>к сожелению(моему)не могу сделать сам что-то достойное.
>
>может кто-то сталкивалса с этим?
>
>proxy не подходит.
>
>
>FreeBSD 6.2ttl смотреть? Прописывать в договоре запрет использования NAT и отключать.
Но граничение сессий самое реальное средство.
>>Сеществует открытая сеть, в нее продаеться интернет.
>>Есть подозрения на перепродажу инет трафика внутри сети.
>>
>>Единственное решение это ограничение количества сессий,
>>к сожелению(моему)не могу сделать сам что-то достойное.
>>
>>может кто-то сталкивалса с этим?
>>
>>proxy не подходит.
>>
>>
>>FreeBSD 6.2
>
>ttl смотреть? Прописывать в договоре запрет использования NAT и отключать.
>Но граничение сессий самое реальное средство.ttl тоже можна запрятать и как тогда искать нарушителя?
>ttl тоже можна запрятать и как тогда искать нарушителя?
ксива фсб (к), + различные регалии для обыска/допроса клиентов... И понеслась, i++ :)
>>ttl тоже можна запрятать и как тогда искать нарушителя?
>ксива фсб (к), + различные регалии для обыска/допроса клиентов... И понеслась, i++
>:)проявилса интерес, это уже хорошо.
при использовании ipfw queue +limit
${fwcmd} pipe "${rule}1" config bw ${bwf_out}Kbit/s
${fwcmd} pipe "${rule}2" config bw ${bwf_in}Kbit/s
${fwcmd} queue "${rule}1" config pipe "${rule}1"
${fwcmd} queue "${rule}2" config pipe "${rule}2"
${fwcmd} add "${rule}3" queue "${rule}3" all from $ip to any via "${if_shape}" limit src-addr ${N_con}
${fwcmd} add "${rule}4" queue "${rule}4" all from any to $ip via "${if_shape}" limit dst-addr ${N_con}происходит такая штука,
уже существующие сессии при появлении новых - просто обрываються,
пример: N_con=10, ssh(2 минуты в idle) при отрытии http(4-8 connections), ssh - обрываеться.есть идеи ?
>>>ttl тоже можна запрятать и как тогда искать нарушителя?
>>ксива фсб (к), + различные регалии для обыска/допроса клиентов... И понеслась, i++
>>:)
>
>проявилса интерес, это уже хорошо.
>
> при использовании ipfw queue +limit
>
>${fwcmd} pipe "${rule}1" config bw ${bwf_out}Kbit/s
>${fwcmd} pipe "${rule}2" config bw ${bwf_in}Kbit/s
>${fwcmd} queue "${rule}1" config pipe "${rule}1"
>${fwcmd} queue "${rule}2" config pipe "${rule}2"
>${fwcmd} add "${rule}3" queue "${rule}3" all from $ip to any via "${if_shape}"
>limit src-addr ${N_con}
>${fwcmd} add "${rule}4" queue "${rule}4" all from any to $ip via "${if_shape}"
>limit dst-addr ${N_con}
>
> происходит такая штука,
> уже существующие сессии при появлении новых - просто обрываються,
> пример: N_con=10, ssh(2 минуты в idle) при отрытии http(4-8 connections), ssh
>- обрываеться.
>
>есть идеи ?идей нет, а вот критика есть
открываешь одну страничку, а нанём штук пять баннеров догружаются с других доменов,
а я одновременно делаю открытие 4-8 сайтов, как в этом случае?меня когда-то тоже жаба давила "вот блин перепрадаёт мой инет", а потом подумал,
что я теряю? если у этого чувака соседи готовы платить дороже вместо того что-б
включиться на прямую, хай им хуже будет =)
я против, покупают анлим 256К за 150грн (150грн = 30$) и перепродают по 40грн (на 4-ых).
сеть в принципе открытая == запретить внутриний трафик невозможно, даже если поднять стоимость анлим трафика в сети до уровня 256К = 150грн - смысл(идея) сети умерает.
> при использовании ipfw queue +limit
>
>${fwcmd} pipe "${rule}1" config bw ${bwf_out}Kbit/s
>${fwcmd} pipe "${rule}2" config bw ${bwf_in}Kbit/s
>${fwcmd} queue "${rule}1" config pipe "${rule}1"
>${fwcmd} queue "${rule}2" config pipe "${rule}2"
>${fwcmd} add "${rule}3" queue "${rule}3" all from $ip to any via "${if_shape}"
>limit src-addr ${N_con}
>${fwcmd} add "${rule}4" queue "${rule}4" all from any to $ip via "${if_shape}"
>limit dst-addr ${N_con}
>
> происходит такая штука,
> уже существующие сессии при появлении новых - просто обрываються,
> пример: N_con=10, ssh(2 минуты в idle) при отрытии http(4-8 connections), ssh
>- обрываеться.
>
>есть идеи ?Limit относится к stateful firewall
man ipfw
STATEFUL FIREWALL
Stateful operation is a way for the firewall to dynamically create rules
for specific flows when packets that match a given pattern are detected.
Support for stateful operation comes through the check-state, keep-state
and limit options of rules.
....
Dynamic rules expire after some time, which depends on the status of the
flow and the setting of some sysctl variables. See Section SYSCTL
VARIABLES for more details. For TCP sessions, dynamic rules can be
instructed to periodically send keepalive packets to refresh the state of
the rule when it is about to expire.
>> при использовании ipfw queue +limit
>>
>>${fwcmd} pipe "${rule}1" config bw ${bwf_out}Kbit/s
>>${fwcmd} pipe "${rule}2" config bw ${bwf_in}Kbit/s
>>${fwcmd} queue "${rule}1" config pipe "${rule}1"
>>${fwcmd} queue "${rule}2" config pipe "${rule}2"
>>${fwcmd} add "${rule}3" queue "${rule}3" all from $ip to any via "${if_shape}"
>>limit src-addr ${N_con}
>>${fwcmd} add "${rule}4" queue "${rule}4" all from any to $ip via "${if_shape}"
>>limit dst-addr ${N_con}
>>
>> происходит такая штука,
>> уже существующие сессии при появлении новых - просто обрываються,
>> пример: N_con=10, ssh(2 минуты в idle) при отрытии http(4-8 connections), ssh
>>- обрываеться.
>>
>>есть идеи ?
>
>Limit относится к stateful firewall
>
>man ipfw
>
>STATEFUL FIREWALL
> Stateful operation is a way for the
>firewall to dynamically create rules
> for specific flows when packets that match
>a given pattern are detected.
> Support for stateful operation comes through the
>check-state, keep-state
> and limit options of rules.
>....
> Dynamic rules expire after some time, which
>depends on the status of the
> flow and the setting of some sysctl
>variables. See Section SYSCTL
> VARIABLES for more details. For TCP
>sessions, dynamic rules can be
> instructed to periodically send keepalive packets to
>refresh the state of
> the rule when it is about to
>expire.так или иначе не нашёл толкового решения,
есть еще варианты ?
>>> при использовании ipfw queue +limit
>>>
>>>${fwcmd} pipe "${rule}1" config bw ${bwf_out}Kbit/s
>>>${fwcmd} pipe "${rule}2" config bw ${bwf_in}Kbit/s
>>>${fwcmd} add "${rule}4" queue "${rule}4" all from any to $ip via "${if_shape}"
>>>limit dst-addr ${N_con}
>>>
>>> происходит такая штука,
>>> уже существующие сессии при появлении новых - просто обрываються,
>>> пример: N_con=10, ssh(2 минуты в idle) при отрытии http(4-8 connections), ssh
>>>есть идеи ?
>>
>>Limit относится к stateful firewall
>
> так или иначе не нашёл толкового решения,
> есть еще варианты ?
Вопрос сформулируйте пожалуйста еще раз.
Почему связь обрывается при использовании выше приведенных правил ipfw или варианты борьбы с перепродажей трафика?
>>>> при использовании ipfw queue +limit
>>>>
>>>>${fwcmd} pipe "${rule}1" config bw ${bwf_out}Kbit/s
>>>>${fwcmd} pipe "${rule}2" config bw ${bwf_in}Kbit/s
>>>>${fwcmd} add "${rule}4" queue "${rule}4" all from any to $ip via "${if_shape}"
>>>>limit dst-addr ${N_con}
>>>>
>>>> происходит такая штука,
>>>> уже существующие сессии при появлении новых - просто обрываються,
>>>> пример: N_con=10, ssh(2 минуты в idle) при отрытии http(4-8 connections), ssh
>>>>есть идеи ?
>>>
>>>Limit относится к stateful firewall
>>
>> так или иначе не нашёл толкового решения,
>> есть еще варианты ?
>Вопрос сформулируйте пожалуйста еще раз.
>Почему связь обрывается при использовании выше приведенных правил ipfw или варианты
>борьбы с перепродажей трафика?вопрос такой:
как ограничить пользователя в N сессий при помощи ipfw?
> вопрос такой:
>
> как ограничить пользователя в N сессий при помощи ipfw?ipfw allow ip from $src_ip to $dst_ip limit src-addr N
разрешается прохождение сетевых пакетов от $src_ip к $dst_ip и обратно, при этом $src_ip может поднять не более N сессий к $dst_ip