URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4901
[ Назад ]

Исходное сообщение
"Блокирование торрентов в проходящем трафике"

Отправлено thnx , 20-Июл-11 12:39 
Доброго дня сообществу!
Возникла задача блокирования P2P-трафика, торрент-сессий.
В принципе ничего против них не имею, но когда пользователи
занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает
жутко тормозить - не дело :)
Дело осложняется, для меня, тем, что шлюз на OpenBSD 4.5, фильтр штатный - PF.
Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто не хочу
лишнего на ней.
Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой трафик?
В Linux есть расширения для iptables для просмотра типа трафика и действия с ними уже
на основании правил. В PF такого не нашёл.
Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.
Спасибо.

Содержание

Сообщения в этом обсуждении
"Блокирование торрентов в проходящем трафике"
Отправлено Andrey Mitrofanov , 20-Июл-11 14:07 
> Возникла задача блокирования P2P-трафика, торрент-сессий.
> В принципе ничего против них не имею, но когда пользователи
> занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает
> жутко тормозить - не дело :)

Казалось бы при чём тут p2p -- полосу и режь.


"Блокирование торрентов в проходящем трафике"
Отправлено thnx , 20-Июл-11 14:33 
>> Возникла задача блокирования P2P-трафика, торрент-сессий.
>> В принципе ничего против них не имею, но когда пользователи
>> занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает
>> жутко тормозить - не дело :)
> Казалось бы при чём тут p2p -- полосу и режь.

Вопрос был не в ограничении, а блокировании.


"Блокирование торрентов в проходящем трафике"
Отправлено Andrey Mitrofanov , 20-Июл-11 14:56 
> Вопрос был не в ограничении, а блокировании.

Вот тут http://www.linux.opennet.ru/opennews/art.shtml?num=23341#5 человек написал такое... Спроси его, куда выложил, если по google:openbsd block torrent не найдётся.


"Блокирование торрентов в проходящем трафике"
Отправлено mef_ , 20-Июл-11 15:51 
Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу будет не интересно.


"Блокирование торрентов в проходящем трафике"
Отправлено thnx , 21-Июл-11 12:30 
> Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши
> правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу
> будет не интересно.

Если бы в этом была необходимость, то нарезал бы, не вопрос..
Но нельзя и любой клиент запросто проверит свою скорость на спидтесте и других подобных ресурсах. Формально даже торренты не запрещены, но когда канал начинает забиваться от количества загрузок, то даже с фактами налицо ничего нельзя сделать. Просто "наверху" пофиг -) Вот и хочу просто закрыть эту чуму или хотя бы днём прекращать халяву.
На ночь - пускай себе рейтинг нагоняют. Они же на отдачу ставят и формально фирме бесплатно, т.к. платим только за входящий трафик. А исходящий бесплатно. Вот такие дела -)


"Блокирование торрентов в проходящем трафике"
Отправлено LPby , 19-Авг-11 15:48 
> Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши
> правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу
> будет не интересно.

Возможно можно просто мониторинг применить и использовать административный ресурс в отношении тех, кто не умеет пользоваться ограничителем скорости для торрентов.


"Блокирование торрентов в проходящем трафике"
Отправлено troopertm , 21-Июл-11 09:58 
>[оверквотинг удален]
> Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто
> не хочу
> лишнего на ней.
> Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой
> трафик?
> В Linux есть расширения для iptables для просмотра типа трафика и действия
> с ними уже
> на основании правил. В PF такого не нашёл.
> Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.
> Спасибо.

QoS - не?


"Блокирование торрентов в проходящем трафике"
Отправлено akagi , 14-Авг-11 17:54 
>[оверквотинг удален]
> Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто
> не хочу
> лишнего на ней.
> Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой
> трафик?
> В Linux есть расширения для iptables для просмотра типа трафика и действия
> с ними уже
> на основании правил. В PF такого не нашёл.
> Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.
> Спасибо.

Всё достаточно просто, закройте запросы на порты выше 1024 по udp и tcp и приём с них.


"Блокирование торрентов в проходящем трафике"
Отправлено Pahanivo , 15-Авг-11 14:31 
> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
> tcp и приём с них.

простите, вы идиот? ))


"Блокирование торрентов в проходящем трафике"
Отправлено skeletor , 15-Авг-11 17:30 
Как вариант ограничивать количество коннектов с одного IP до 50. Для серфинга по сети - вполне хватит.

"Блокирование торрентов в проходящем трафике"
Отправлено Pahanivo , 16-Авг-11 09:11 
> Как вариант ограничивать количество коннектов с одного IP до 50. Для серфинга
> по сети - вполне хватит.

а udp ?


"Блокирование торрентов в проходящем трафике"
Отправлено skeletor , 16-Авг-11 10:00 
А что udp нельзя блокировать таким образом? Не совсем понял вопрос.

"Блокирование торрентов в проходящем трафике"
Отправлено Aquarius , 24-Авг-11 18:07 
> А что udp нельзя блокировать таким образом? Не совсем понял вопрос.

в udp не используется концепция соединения
можно ограничить количество посылок (не пакетов) в единицу времени - это максимум, что можно сделать без костылей


"Блокирование торрентов в проходящем трафике"
Отправлено Pahanivo , 16-Авг-11 19:18 
>> Как вариант ограничивать количество коннектов с одного IP до 50. Для серфинга
>> по сети - вполне хватит.
> а udp ?

что вы понимаете под коннектами udp?


"Блокирование торрентов в проходящем трафике"
Отправлено akagi , 16-Авг-11 14:33 
>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
>> tcp и приём с них.
> простите, вы идиот? ))

Идиота прощаю.


"Блокирование торрентов в проходящем трафике"
Отправлено Pahanivo , 16-Авг-11 19:19 
>>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
>>> tcp и приём с них.
>> простите, вы идиот? ))
> Идиота прощаю.

)) за это я расскажу тебе страшную тайну дружок - например закрыв udp > 1024 ты как минимум потеряешь ДНС


"Блокирование торрентов в проходящем трафике"
Отправлено akagi , 17-Авг-11 22:53 
>>>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
>>>> tcp и приём с них.
>>> простите, вы идиот? ))
>> Идиота прощаю.
> )) за это я расскажу тебе страшную тайну дружок - например закрыв
> udp > 1024 ты как минимум потеряешь ДНС

Дружок у тебя в трусах, а днс работает на 53 порту,а не на портах выше 1024 которые я предложил закрыть.


"Блокирование торрентов в проходящем трафике"
Отправлено Pahanivo , 18-Авг-11 16:47 
> Дружок у тебя в трусах, а днс работает на 53 порту,а не
> на портах выше 1024 которые я предложил закрыть.

мысли от русах мешают тебе разделять серверную часть от клиентской


"Блокирование торрентов в проходящем трафике"
Отправлено akagi , 19-Авг-11 03:07 
>> Дружок у тебя в трусах, а днс работает на 53 порту,а не
>> на портах выше 1024 которые я предложил закрыть.
> мысли от русах мешают тебе разделять серверную часть от клиентской

аргументируй


"Блокирование торрентов в проходящем трафике"
Отправлено Pahanivo , 19-Авг-11 08:12 
> аргументируй
>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и tcp и приём с них.

с запросами (setup) на tcp все какбЭ понятно - нету сервиса спокойно грохаем сетапы и все
хотя в случае торента кто вам сказал что сетапы будут в нашу сторону?
какие запросы ты собрался закрывать для udp - какгбЭ слабо понятно, там их просто нЭт, а запросы от клиентов выходят с верхних портов - соотв. все ответы будут грохаться в данном случае, если конЭчна не стайтфул фаревол
и кстати, торрет умеет юзать udp-транспорт насколько я знаю


"Блокирование торрентов в проходящем трафике"
Отправлено анон , 19-Авг-11 08:16 
>>> Дружок у тебя в трусах, а днс работает на 53 порту,а не
>>> на портах выше 1024 которые я предложил закрыть.
>> мысли от русах мешают тебе разделять серверную часть от клиентской
> аргументируй

Он имел в виду, что клиенты будут получать ответ от dns-сервера на порт выше 1024-го (в диапазоне т.н. эфемерных портов)

..другое дело, что на это можно было указать тактичнее


"Блокирование торрентов в проходящем трафике"
Отправлено Pahanivo , 19-Авг-11 08:51 
> ..другое дело, что на это можно было указать тактичнее

согласен, но автор сморозил такую чушь что я не сдержался ))


"Блокирование торрентов в проходящем трафике"
Отправлено Andrey Mitrofanov , 19-Авг-11 12:59 
> )) за это я расскажу тебе страшную тайну дружок - например закрыв
> udp > 1024 ты как минимум потеряешь ДНС

"Он имел в виду" :-D , что
(звиняйте, как это будет по опенбздешному, не знаю)
iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j DROP
(или типа того)
_не_ сломает DNS запросы клиентов~~~

...но сломает большУю часть торентов, например.


"Блокирование торрентов в проходящем трафике"
Отправлено znara , 19-Авг-11 13:18 
Яйца бы вам оторвать за такие вопросы. Зачем полностью рубить? Или на Михалкова трудитесь?


"Блокирование торрентов в проходящем трафике"
Отправлено Andrey Mitrofanov , 19-Авг-11 13:23 
> Михалкова трудитесь?

Гы-ы-ы!!!! Работает!!1! /// ...сынок, иди в... школу.


"Блокирование торрентов в проходящем трафике"
Отправлено znara , 19-Авг-11 13:36 
>> Михалкова трудитесь?
> Гы-ы-ы!!!! Работает!!1! /// ...сынок, иди в... школу.

Учись делать приоритеты для траффика и резать канал, папа


"Блокирование торрентов в проходящем трафике"
Отправлено Junior , 20-Авг-11 22:32 
>> )) за это я расскажу тебе страшную тайну дружок - например закрыв
>> udp > 1024 ты как минимум потеряешь ДНС
> "Он имел в виду" :-D , что
> (звиняйте, как это будет по опенбздешному, не знаю)
> iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j
> DROP
> (или типа того)
> _не_ сломает DNS запросы клиентов~~~
> ...но сломает большУю часть торентов, например.

А не проще?
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j LOG --log-level info --log-prefix "p2p "
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j DROP

Но здесь не Linux обсуждается.