bittorenty a filtry na P2P jsou out

[Karel Půček]

Mám vážný problém, MT vůbec nereflektuje do P2P tzv. bittorenty. Jejich provoz vůbec nejde manglovat apod. třeba v SQ, že. Běhají mi plnou klientskou rychlostí. Máte to někdo zmáklé? Co s tím, když šejpovanou kazzu už nikdo nepoužívá?

[pepulis]

Mám vážný problém, MT vůbec nereflektuje do P2P tzv. bittorenty. Jejich provoz vůbec nejde manglovat apod. třeba v SQ, že. Běhají mi plnou klientskou rychlostí. Máte to někdo zmáklé? Co s tím, když šejpovanou kazzu už nikdo nepoužívá?

Na skfree.net jsem cetl a nekde to tady myslim i psal, ze nektere tyto klientske programy komunikuji pres udp protokol (hlavne bitcomet pokud se nepletu). Ja jsem to vyresil tak ze jsem zakazal veskere UDP krome DNS,Teamspeaku, game portu apod.. Clovek se ani nestaci divit kolik tech zbyvajicich drop veci u UDP je. Pokud by ani tohle nepomohlo tak by asi bylo dobry jeste nastavit connection na napr. 300. To jak si clovek zasere vlastni linku je pak uz jeho vec, zda to bude diky p2p nebo necemu jinemu, vice jak 300 connection mu to nepusti a bude pak na nem si to nejak ohlidat a pouzivat lepsi klienty, kteri v sobe umoznuji nastaveni pocet spojeni. Mam tady jeden clanek, mozna jej kazdy zna, ale vlozim jej sem. Snad to nekomu pomuze. Nasel jsem to nekdy nekde na webu, uz nevim.

Co je P2P
Sí je tvořena větším množstvím připojených počítačů, které se liší jen typem rychlosti připojení a tím, co sdílí. V závislosti na výběru sítě mohou pracovat bez (decentralizovaná sí) a nebo s (centralizovaná sí) serverem. Ten však neplní úlohu úložiště, alá FTP, ale úlohu zprostředkovatelů. Požadovaná data na nich tedy nenajdete, za to slouží jako skladiště identifikátorů souborů, díky němuž umožňuje vyhledávání souboru, a v některých případech také k obsluze chatu mezi účastníky sítě. Po vyhledání požadovaného souboru vás server přesměruje na počítač, kde se požadovaný soubor nachází, a stahování může začít.
Co je BitTorrent
BitTorrent je další sí p2p, podobně jako třeba slavný Napster nebo DirrectConnect. Je využívaná hlavně ke stahování souborů o které je náporově velký zájem. Třeba nové distribuce Linuxu, nebo Hvězdné války pár dní před premiérou. Jeho výhoda spočívá v tom, že rychlost stahování roste úměrně s počtem stahovačů!
· Princip je následující :
Uživatel zadá svému programu cestu k .torrent souboru, který nese informace o požadovaném souboru. Klient stáhne .torrent soubor a na základě jeho obsahu kontaktuje "tracker" server. Tento stroj slouží jako koordinátor všech klientů. Tracker klientovi poskytne informaci o dalších klientech, od kterých může stahovat jednotlivé kusy dat. Klient na oplátku periodicky informuje tracker o tom, co již stihnul stáhnout. Tím nejen pomůže trackeru aktualizovat okruh klientů, kteří mají právě ty části dat, které stahující klient ještě postrádá, ale zároveň umožní trackeru zařadit svá stažená data do seznamu klientů, od kterých je možno tyto části stahovat.
Jakmile tedy získáte jakoukoliv část dat, stáváte se platným článkem spolupracujícího společenství, protože začínáte okamžitě poskytovat svá stažená data jiným klientů, kteří je ještě nemají.
BitTorrent funguje nejlépe, když se stahování/sdílení účastní co největší počet klientů. Takové řešení je proto perfektní odpovědí na velké množství bandwidth problémů.
Problémy
V poslední době se BitTorrent v síti velice rozšířil. Znát je to hlavně v tom jaké způsobuje problémy.
Zahlcení trafficem
Někteří členové sítě jsou prasata a nekontrolují svůj traffic (upload+download) s ohledem na ostatní členy. To poté vede k zahlcení linky, což se může projevit na větším zatížení konektivity.
Tento problém částečně řeší TrafficShaping a snad taky docela úspěšně.


Příliš mnoho spojení
Některé BitTorrent klientské programy jsou naprogramované nehorázně a způsobují těžko řešitelné problémy. Špatný klient se pozná snadno, neumí kontrolovat počet spojení která otevírá a nebo správně nezavírá ukončená spojení.
To vede k zahlcení routeru velkým počtem spojení která zůstávají velmi dlouho otevřená. Na každém routeru je nastaven maximální počet spojení které může člen otevřít. Limit je 150 odchozích spojení, po jeho překročení se žádná další spojení již neotevřou.
Tedy žádné další webové stránky, žádný email, prostě jako kdyby jste byli odříznutí od internetu až na to že již spuštěné programy připojené k internetu běží (ICQ, již otevřený web, ...)
Bohužel na limitu 150ti odchozích spojení je důležité slovíčko odchozí. Příchozí spojení kontrolována prozatím nejsou a tedy je router vpodstatě zahlcen příchozími spojeními. Tak se může stát že jeden jediný člen dosáhne spojení až 5 000. Když je takových členů více snadno zahltí router, který nedokáže udržet více jak 20 000 spojení a na internet se nedostane nikdo.
Tento problém částečně řeší dobrý klient! Například Azureus, lze v něm nastavit počet spojení a odchozí spojení skutečně uzavírá.
Kde se problémy nejčastěji projevují?
· Na vykrývacích AP
o AP kde je vysílačem Ovislink 1120 je značně náchylné na zaseknutí, když je přes něj otevřen větší počet spojení a když přes něj proudí velký traffic.
· Na AP s hodně sosaly
o Jestli že se sejde na jednom AP více Sběratelů filmů většinou dokáží pěkně danému AP zavařit.
· Na LAN s hodně sosaly
o LAN bývají připojeny právě společným Ovislinkem 1120, který je na velký počet spojení ještě více náchylný než router.
Ovislink má při takovéto zátěži tendenci zatuhnout. Na internet se pak nedostane nikdo z místní LAN.

[raven-il]

Ja osobne pouzivam z jisteho duvodu MK v modu bridge, a tam podle meho limitace spojeni (connection limit) zkratka nechodi.

Takze jsem pouzil limitaci pomoci funkce Limit a src. limit.

Konkretni "sosace" resim jako dynamickou skupinu ip adres, ktere omezuju pravidlem Limit a src. limit jako celek, jen vyluciji web a icq(zatim v testu)

No a tohle pravidlo mezi pulnoci a 06:00 vypinam, takze sosaci jedou co to jde....

[Karel Půček]

No, ty conectione limity mám paušálně nastavené ve firewallu na 300 pro každého, ale oni mi mažou kromě UDP i na 80 portu. A to je vážné. Ten přehled povolených UDP portů mohu získat kde? Je to podle mě stejně jen polovičaté řešení, protože se spojení přesunou na TCP. Ale pokud to pomůže zneschopnit "špatné" klienty, tak je to fajn. Zbavit se poloviny problémů je velká úleva. Ale zkrouhout limity spojení na 150 taky není k zahození, to vytvoření dynamické skupiny ještě promyslím, protože mě nanapadá způsob jak to udělat.
Díky za náměty, su rád že to tlačí nás klienty ve větším počtu, ještě aby to dotáhli do konce lotyši.

[skrebon]

Podobne to riesim i ja... Pocet spojeni na kazdeho mam tusim 2k. Ak to prekroci, dostane sa do climitu, kde mam povolene len zakladne porty(21,22,25,80,110,443,5190 apod) a tym to konci. Za 6hodin sa im to zrusi(pokial znizia pocet spojeni). Zatial s tym mam dobre skusenosti.

[Karel Půček]

A jak to udělat? Mám poblém zpřístupnit mailserver za druhým zroutovaným MT, a jedinou veřejnou ip mám na prvním... Na 2.8.28 mi to fungovalo a na 2.9.x už je potřeba něco změnit.

[TooM-As]

nevim jestli by se napr. bittorent dal vubec manglovat . moc se v tom zatim nevyznam a mangluje se to vetsinou podle portu ze ?? no a treba bitspirit ktery pouzivam muze automaticky pri kazdym startu menit port.

[pepulis]

nevim jestli by se napr. bittorent dal vubec manglovat . moc se v tom zatim nevyznam a mangluje se to vetsinou podle portu ze ?? no a treba bitspirit ktery pouzivam muze automaticky pri kazdym startu menit port.

No a neni to jedno zda jej muzes manglovat. Namanglujes ip adresy lidi, priradis jim rychlosti a je. Ano on si tim "zasere" svoje pripojeni, ale za predpokladu nastaveni connection to omezi jenom ho samotneho a je a nebude to nijak vytezovat konektivitu.

[Karel Půček]

No, těm gigabitistům za den sem dal nejhorší prioritu.

[mato1]

Podobne to riesim i ja... Pocet spojeni na kazdeho mam tusim 2k. Ak to prekroci, dostane sa do climitu, kde mam povolene len zakladne porty(21,22,25,80,110,443,5190 apod) a tym to konci. Za 6hodin sa im to zrusi(pokial znizia pocet spojeni). Zatial s tym mam dobre skusenosti.

zdravim
riesim presne toto... po prekroceni ich presuvam do address listu a na dany address list mam pravidla na blokovanie portov... no a tu zacina moj problem.
KTORE PORTY TREBA NECHAT VOLNE? mozno blba otazka, ale ked povolim zakladne TCP porty ako 21, 22, 80, 110, 443 tak to nejde... nejdu stranky. neviem preco!!!! Aky port treba povolit este na stranky? Poradte.

Inak pre dany address list blokujem tiez vsetky UDP porty, ale myslim ze tam by chyba byt nemala...

[aj_rade]

povol jeste DNS, port 53

[mato1]

povol jeste DNS, port 53

to som zabudol dopisat... to samozrejme je povolene, ale aj tak to neslape

[mato1]

no teraz to skusam a testujem ale nejak tomu nieco vadi... neviem co.
ked povolim urcite porty, konkretne tieto...
21, 22, 25, 53, 80, 110, 443, 5190, 7001

...tak tieto porty nestacia na to aby bezali stranky. Neviem preco... Ostatne porty mam zablokovane. Ked mi nejdu stranky, tak to zachyta jedno pravidlo ktore dropuje porty od 444-5189. Nikde inde sa pakety nezachytavaju, takze asi jeden z tychto portov bude treba povolit... ale ktory?

Vie mi niekto pomoct?

pre lepsie zorientovanie sa prikladam obrazok:

[mato1]

este jedna vec... uz mam z toho haluze.
ip adresy ktore sa dostanu do dynamickeho address listu po prekroceni dovoleneho poctu spojeni dalej obmedzujem s blokovanim portov... aspon by som chcel.
Vo firewalli mam rozpisane vsetky porty pre dany address list, ako vidno na obrazku vyssie... ale nezaznamenava mi to pakety, vlastne sa zda ako keby to nebolo dobre nastavene, nezachytava to ani web stranky... takto mam nastavene napriklad sledovanie 80 portu pre ip adresy z dynamickeho address listu. Mam to dobre?

[raven-il]

este jedna vec... uz mam z toho haluze.
ip adresy ktore sa dostanu do dynamickeho address listu po prekroceni dovoleneho poctu spojeni dalej obmedzujem s blokovanim portov... aspon by som chcel.
Vo firewalli mam rozpisane vsetky porty pre dany address list, ako vidno na obrazku vyssie... ale nezaznamenava mi to pakety, vlastne sa zda ako keby to nebolo dobre nastavene, nezachytava to ani web stranky... takto mam nastavene napriklad sledovanie 80 portu pre ip adresy z dynamickeho address listu. Mam to dobre?

Nemelo by to byt spise jako src adress list ?