Доброго дня сообществу!
Возникла задача блокирования P2P-трафика, торрент-сессий.
В принципе ничего против них не имею, но когда пользователи
занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает
жутко тормозить - не дело :)
Дело осложняется, для меня, тем, что шлюз на OpenBSD 4.5, фильтр штатный - PF.
Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто не хочу
лишнего на ней.
Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой трафик?
В Linux есть расширения для iptables для просмотра типа трафика и действия с ними уже
на основании правил. В PF такого не нашёл.
Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.
Спасибо.
> Возникла задача блокирования P2P-трафика, торрент-сессий.
> В принципе ничего против них не имею, но когда пользователи
> занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает
> жутко тормозить - не дело :)Казалось бы при чём тут p2p -- полосу и режь.
>> Возникла задача блокирования P2P-трафика, торрент-сессий.
>> В принципе ничего против них не имею, но когда пользователи
>> занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает
>> жутко тормозить - не дело :)
> Казалось бы при чём тут p2p -- полосу и режь.Вопрос был не в ограничении, а блокировании.
> Вопрос был не в ограничении, а блокировании.Вот тут http://www.linux.opennet.ru/opennews/art.shtml?num=23341#5 человек написал такое... Спроси его, куда выложил, если по google:openbsd block torrent не найдётся.
Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу будет не интересно.
> Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши
> правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу
> будет не интересно.Если бы в этом была необходимость, то нарезал бы, не вопрос..
Но нельзя и любой клиент запросто проверит свою скорость на спидтесте и других подобных ресурсах. Формально даже торренты не запрещены, но когда канал начинает забиваться от количества загрузок, то даже с фактами налицо ничего нельзя сделать. Просто "наверху" пофиг -) Вот и хочу просто закрыть эту чуму или хотя бы днём прекращать халяву.
На ночь - пускай себе рейтинг нагоняют. Они же на отдачу ставят и формально фирме бесплатно, т.к. платим только за входящий трафик. А исходящий бесплатно. Вот такие дела -)
> Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши
> правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу
> будет не интересно.Возможно можно просто мониторинг применить и использовать административный ресурс в отношении тех, кто не умеет пользоваться ограничителем скорости для торрентов.
>[оверквотинг удален]
> Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто
> не хочу
> лишнего на ней.
> Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой
> трафик?
> В Linux есть расширения для iptables для просмотра типа трафика и действия
> с ними уже
> на основании правил. В PF такого не нашёл.
> Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.
> Спасибо.QoS - не?
>[оверквотинг удален]
> Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто
> не хочу
> лишнего на ней.
> Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой
> трафик?
> В Linux есть расширения для iptables для просмотра типа трафика и действия
> с ними уже
> на основании правил. В PF такого не нашёл.
> Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.
> Спасибо.Всё достаточно просто, закройте запросы на порты выше 1024 по udp и tcp и приём с них.
> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
> tcp и приём с них.простите, вы идиот? ))
Как вариант ограничивать количество коннектов с одного IP до 50. Для серфинга по сети - вполне хватит.
> Как вариант ограничивать количество коннектов с одного IP до 50. Для серфинга
> по сети - вполне хватит.а udp ?
А что udp нельзя блокировать таким образом? Не совсем понял вопрос.
> А что udp нельзя блокировать таким образом? Не совсем понял вопрос.в udp не используется концепция соединения
можно ограничить количество посылок (не пакетов) в единицу времени - это максимум, что можно сделать без костылей
>> Как вариант ограничивать количество коннектов с одного IP до 50. Для серфинга
>> по сети - вполне хватит.
> а udp ?что вы понимаете под коннектами udp?
>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
>> tcp и приём с них.
> простите, вы идиот? ))Идиота прощаю.
>>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
>>> tcp и приём с них.
>> простите, вы идиот? ))
> Идиота прощаю.)) за это я расскажу тебе страшную тайну дружок - например закрыв udp > 1024 ты как минимум потеряешь ДНС
>>>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
>>>> tcp и приём с них.
>>> простите, вы идиот? ))
>> Идиота прощаю.
> )) за это я расскажу тебе страшную тайну дружок - например закрыв
> udp > 1024 ты как минимум потеряешь ДНСДружок у тебя в трусах, а днс работает на 53 порту,а не на портах выше 1024 которые я предложил закрыть.
> Дружок у тебя в трусах, а днс работает на 53 порту,а не
> на портах выше 1024 которые я предложил закрыть.мысли от русах мешают тебе разделять серверную часть от клиентской
>> Дружок у тебя в трусах, а днс работает на 53 порту,а не
>> на портах выше 1024 которые я предложил закрыть.
> мысли от русах мешают тебе разделять серверную часть от клиентскойаргументируй
> аргументируй
>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и tcp и приём с них.с запросами (setup) на tcp все какбЭ понятно - нету сервиса спокойно грохаем сетапы и все
хотя в случае торента кто вам сказал что сетапы будут в нашу сторону?
какие запросы ты собрался закрывать для udp - какгбЭ слабо понятно, там их просто нЭт, а запросы от клиентов выходят с верхних портов - соотв. все ответы будут грохаться в данном случае, если конЭчна не стайтфул фаревол
и кстати, торрет умеет юзать udp-транспорт насколько я знаю
>>> Дружок у тебя в трусах, а днс работает на 53 порту,а не
>>> на портах выше 1024 которые я предложил закрыть.
>> мысли от русах мешают тебе разделять серверную часть от клиентской
> аргументируйОн имел в виду, что клиенты будут получать ответ от dns-сервера на порт выше 1024-го (в диапазоне т.н. эфемерных портов)
..другое дело, что на это можно было указать тактичнее
> ..другое дело, что на это можно было указать тактичнеесогласен, но автор сморозил такую чушь что я не сдержался ))
> )) за это я расскажу тебе страшную тайну дружок - например закрыв
> udp > 1024 ты как минимум потеряешь ДНС"Он имел в виду" :-D , что
(звиняйте, как это будет по опенбздешному, не знаю)
iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j DROP
(или типа того)
_не_ сломает DNS запросы клиентов~~~...но сломает большУю часть торентов, например.
Яйца бы вам оторвать за такие вопросы. Зачем полностью рубить? Или на Михалкова трудитесь?
> Михалкова трудитесь?Гы-ы-ы!!!! Работает!!1! /// ...сынок, иди в... школу.
>> Михалкова трудитесь?
> Гы-ы-ы!!!! Работает!!1! /// ...сынок, иди в... школу.Учись делать приоритеты для траффика и резать канал, папа
>> )) за это я расскажу тебе страшную тайну дружок - например закрыв
>> udp > 1024 ты как минимум потеряешь ДНС
> "Он имел в виду" :-D , что
> (звиняйте, как это будет по опенбздешному, не знаю)
> iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j
> DROP
> (или типа того)
> _не_ сломает DNS запросы клиентов~~~
> ...но сломает большУю часть торентов, например.А не проще?
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j LOG --log-level info --log-prefix "p2p "
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j DROPНо здесь не Linux обсуждается.