classic.ISPforum.cz

Ahoj uz se to tu resilo nekolikrat, ale opet me useri predbehli a zacali pouzivat nejakej dabelskej torrent program. Doted sem mel manglovane packety a ty pomoci QT omezene na 192k na celou sit. Vse slapalo az doted....jedna ip me porad taha maximalni rychlosti nastavenou v SQ. Manglovani je pase, neoznaci to snad jedinej packet a pokud dam omezeni connections na danou IP, tak to nepomaha taky.....na chvilku se to omezi a pak se zacne v firewall/connections obevovat nejaky pozadavek na udp a download se opet rozjede plnou rychlosti.......muj dotaz je, jak uplne zakazat p2p spojeni v siti, nebo jak jej separovat a omezit na urcitou velikost pro celou sit. Prosel sem predchozi diskuze a vyzkousel snad vsechny prizpevky a nepomohlo nic.....

HoT píše:Ahoj uz se to tu resilo nekolikrat, ale opet me useri predbehli a zacali pouzivat nejakej dabelskej torrent program. Doted sem mel manglovane packety a ty pomoci QT omezene na 192k na celou sit. Vse slapalo az doted....jedna ip me porad taha maximalni rychlosti nastavenou v SQ. Manglovani je pase, neoznaci to snad jedinej packet a pokud dam omezeni connections na danou IP, tak to nepomaha taky.....na chvilku se to omezi a pak se zacne v firewall/connections obevovat nejaky pozadavek na udp a download se opet rozjede plnou rychlosti.......muj dotaz je, jak uplne zakazat p2p spojeni v siti, nebo jak jej separovat a omezit na urcitou velikost pro celou sit. Prosel sem predchozi diskuze a vyzkousel snad vsechny prizpevky a nepomohlo nic.....

torrenty su svine... ja ich pouzivam tiez
tipujem ze mas nastavene pocty spojeni len na tcp spojenia. skus nastavit aj na udp spojenia pocet spojeni - ale podstatne mensi. torrenty - hlavne tie svine - idu prave cez udp. potom sprav to, ze ak urcity user prekroci urcity pocet spojeni (u mna je to 200), tak ho prehodi do address listu kde ma blokovane vsetky tcp a udp porty okrem nevyhnutnych (mozno nejakych 10 portov). tam kde nepomaha omanglovanie p2p paketov pomaha blokovanie "nepotrebnych" portov. user je v tomto address liste 2 hodiny, potom sa dostane zas do normalu... je len na nom ci sa tam dostane zas alebo nie

skus a daj vediet ako si dopadol

jo to me napadlo taky, ale pri nastaveni ve Filter rules mi to napise: Couldn´t change Firewall Rule - connection limit works only with tcp (6). verze MK je 2.9.31

HoT píše:jo to me napadlo taky, ale pri nastaveni ve Filter rules mi to napise: Couldn´t change Firewall Rule - connection limit works only with tcp (6). verze MK je 2.9.31

to je jasny... pocty UDP connection ani z principu omezit nejde!! teda alespon ja o tom nevim

s UDP nemuzes zachazet jako s TCP
nemuzes je limitovat na pocet spojeni ale muzes je prece limitovat na pocet packetu za sekundu anebo na packet size

No jo, ale jak teda na to? Zitra zkusim jeste presne nadefinovat porty, ktere budou povolene a ktere ne a uvidim. Sice sem se tomu branil, protoze to neni to prave orechove....ale nemuzu asi jinak. Pokud byste meli nekdo nakej napad, nebo me umoznili nahled na sve nastaveni, nebo se nekdo chtel mrknout na me a pripadne poradit, tak budu moc rad....

Tak ja to vubec nechapu, pokud dam ve firewallu omezeni poctu connections, tak to pravidlo prestane fungovat.....nechapu. Mam 2 stroje na obou nastavene vse ulne stejne a jeden ty p2p site filtruje a omezuje a druhej ne tak to me pos*r....

Omezit pocet spojeni na UDP neni mozne, protoze UDP zadna spojeni nesestavuje - proste to veme a nesype to tam, pritom ho vubec nezajima, jestli druha strana je schopna data prijmout. Naopak TCP sestavuje spojeni tak, ze prida do TCP hlavicky priznak SYN a ceka na potvrzeni od druhe strany, proto je mozne kontrolovat pocet spojeni, ktere se pokousi navazat.

Na ty p2p site doporucuji ipp2p http://www.ipp2p.org/ , coz je rozsireni iptables v linuxu. Zachyti to snad vsechny p2p co existuji. Mohli by to pridat kluci sikovni do MK (napr. StarOS3 to ma integrovane). A jeste krasny clanek jak na ty p2p vyzrat http://www.linuxexpres.cz/ipp2p-kladivo-na-stahovace

Ming-li píše:Omezit pocet spojeni na UDP neni mozne, protoze UDP zadna spojeni nesestavuje - proste to veme a nesype to tam, pritom ho vubec nezajima, jestli druha strana je schopna data prijmout. Naopak TCP sestavuje spojeni tak, ze prida do TCP hlavicky priznak SYN a ceka na potvrzeni od druhe strany, proto je mozne kontrolovat pocet spojeni, ktere se pokousi navazat.

Na ty p2p site doporucuji ipp2p http://www.ipp2p.org/ , coz je rozsireni iptables v linuxu. Zachyti to snad vsechny p2p co existuji. Mohli by to pridat kluci sikovni do MK (napr. StarOS3 to ma integrovane). A jeste krasny clanek jak na ty p2p vyzrat http://www.linuxexpres.cz/ipp2p-kladivo-na-stahovace

nj ale co sifrovany bittorent ? To je zrejme ten problem o ktorom sa tu bavime. Zatial to dokaze asi len NetEnforcer ale to je trochu ina cenova kategoria...

fujara píše:

Ming-li píše:Omezit pocet spojeni na UDP neni mozne, protoze UDP zadna spojeni nesestavuje - proste to veme a nesype to tam, pritom ho vubec nezajima, jestli druha strana je schopna data prijmout. Naopak TCP sestavuje spojeni tak, ze prida do TCP hlavicky priznak SYN a ceka na potvrzeni od druhe strany, proto je mozne kontrolovat pocet spojeni, ktere se pokousi navazat.

Na ty p2p site doporucuji ipp2p http://www.ipp2p.org/ , coz je rozsireni iptables v linuxu. Zachyti to snad vsechny p2p co existuji. Mohli by to pridat kluci sikovni do MK (napr. StarOS3 to ma integrovane). A jeste krasny clanek jak na ty p2p vyzrat http://www.linuxexpres.cz/ipp2p-kladivo-na-stahovace

nj ale co sifrovany bittorent ? To je zrejme ten problem o ktorom sa tu bavime. Zatial to dokaze asi len NetEnforcer ale to je trochu ina cenova kategoria...

No ale on to umi, viz http://www.answers.com/topic/bittorrent ... encryption
To je prekvapko, co?

Jo a jeste vypis z Changelogu ipp2p:

# changes are: new (experimental) protocols: mute, xdcc(block only) and waste (THX to joco)
# detects BitComet header encryption
# edonkey udp bug fixed
# some new rules for winmx
# more code cleanup (the code does not look very well)

Jinak teda kdyz jsme u te jine cenove kategorie, tak bych doporucil P-CUBE (nyni uz Cisco). http://www.p-cube.com/indexold.shtml

Ming-li píše:

fujara píše:

Ming-li píše:Omezit pocet spojeni na UDP neni mozne, protoze UDP zadna spojeni nesestavuje - proste to veme a nesype to tam, pritom ho vubec nezajima, jestli druha strana je schopna data prijmout. Naopak TCP sestavuje spojeni tak, ze prida do TCP hlavicky priznak SYN a ceka na potvrzeni od druhe strany, proto je mozne kontrolovat pocet spojeni, ktere se pokousi navazat.

Na ty p2p site doporucuji ipp2p http://www.ipp2p.org/ , coz je rozsireni iptables v linuxu. Zachyti to snad vsechny p2p co existuji. Mohli by to pridat kluci sikovni do MK (napr. StarOS3 to ma integrovane). A jeste krasny clanek jak na ty p2p vyzrat http://www.linuxexpres.cz/ipp2p-kladivo-na-stahovace

nj ale co sifrovany bittorent ? To je zrejme ten problem o ktorom sa tu bavime. Zatial to dokaze asi len NetEnforcer ale to je trochu ina cenova kategoria...

No ale on to umi, viz http://www.answers.com/topic/bittorrent ... encryption
To je prekvapko, co?

Jo a jeste vypis z Changelogu ipp2p:

# changes are: new (experimental) protocols: mute, xdcc(block only) and waste (THX to joco)
# detects BitComet header encryption
# edonkey udp bug fixed
# some new rules for winmx
# more code cleanup (the code does not look very well)

ipp2p pouzivam spolu s omezovanim rychlosti. Funguje jak ma, az na bittorenty. Pokud to zkousim na sobe, vzdy me to omezi jak ma. Obcas se ale najde nektery uzivatel, ktereho to neomezuje, nebo jen castecne (jedna se pouze o torrenty, ostatni p2p jsou vzdy ok) Bohuzel jsem neprisel na to, za jakych okolnosti se uzivateli (nebo spis nekteremu torrent klientovi, uzivatele vi prd) podari zkrz toto projit.

Mam ipp2p prelozeno primo do firmwaru pro rtl8186, takze muzu nahlizet do /proc/net/ip_conntrack pro toho konktretniho uzivatele, ktery ipp2p nejak obejde. V ip_conntrack jsou videt nektere neoznacene (mark=0) konexe, ktere urcite vyvolal onen torrent klient.

No proste abych to zakoncil, obcas ipp2p nejake spojeni neoznaci a to pak samozrejmne nejde zaradit mezi p2p. Na zadne reseni jsem neprisel. Akorat koukam obden na ipp2p.org, jestli neni nova verze

Zdar

Neni nad zkusenosti z praxe Sem si poradne prosel ipp2p a ten typek co to vyviji, tam psal, ze by to zmaknul (ty torrenty), ale ze na to nema cas a hlavne zadnou motivaci (pise tam o financich )

Jeste jsem nasel na forech, ze je idealni spojit filtrovani ipp2p spolu s l7-filterem to pry pak zachyti jeste o nejaky ten torrent navic.

Je to proste vecny boj mezi p2p a spravci siti, ale jak psal kolega vys reseni existuji, jen si jej vyrobci nechavaji az nekrestansky zaplatit

Celkom to nechapem.
Sice sa tiez snazim obmedzovat P2P centralne, ale predsa kazdy uzivatel ma pridelenu svoju rychlost, tak predsa celu linku nikdy nezabije.
Okrem toho, vacsi problem ako p2p programy su stranky ako rapidshare, ktorych je neskutocne mnozstvo a zatial jedina vec co mi pomohlo je raz zacas zapnut torch a zistit z akych IP ide najvacsi traffic a tie IP potom pridat do adress listu a shapovat ich centralne na max X mbit spolu s p2p sietami.
Potesil by niekde na nete zoznam s IPckami takychto sieti.
Potom uz len skript ktore by dane IP hadzal do zoznamu.

airbilly píše:Celkom to nechapem.
Sice sa tiez snazim obmedzovat P2P centralne, ale predsa kazdy uzivatel ma pridelenu svoju rychlost, tak predsa celu linku nikdy nezabije.
Okrem toho, vacsi problem ako p2p programy su stranky ako rapidshare, ktorych je neskutocne mnozstvo a zatial jedina vec co mi pomohlo je raz zacas zapnut torch a zistit z akych IP ide najvacsi traffic a tie IP potom pridat do adress listu a shapovat ich centralne na max X mbit spolu s p2p sietami.
Potesil by niekde na nete zoznam s IPckami takychto sieti.
Potom uz len skript ktore by dane IP hadzal do zoznamu.

na rapidshare mam rozsahy ip - aj funguje, odskusane
taktiez mam aj na megaupload - tiez dost vyuzivana vecicka...