Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2008-08-06 14:10:44

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

ipp2p + Layer 7 + shorewall

Witam!

Interesuje mnie calkowita blokada p2p w sieci na serwerze - debian. Zainstalowalem sobie ipp2p oraz Layer 7. Testowalem juz rozne swoje koncepcje jednak do kazdej mam jakies ale. Chcialbym prosic o podanie sprawdzonych regolek konfiguracyjnych ktore wycinaja jak najwiecej ruchu p2p. Najlepiej cala konfiguracje tych modulow w takiej postaci aby dropowaly jak najwiecej.

Czy da sie w jakis sposob za pomoca tych skryptow zablokowac szyfrowane polaczenie utorenta lub Aresa? Jesli nie to czy jest na to jakas skuteczna metoda?

Prosze o informacje kolegow, ktorzy pracowali na tych modulach.

Pozdrawiam!

Offline

 

#2  2008-08-07 09:27:59

  maro - Użytkownik

maro
Użytkownik
Zarejestrowany: 2006-10-21

Re: ipp2p + Layer 7 + shorewall

Niestety szyfromany muł+torrent dalej mi przechodzi :/

Ostatnio edytowany przez maro (2008-08-07 09:28:11)

Offline

 

#3  2008-08-07 11:30:37

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

A mozesz podzielic sie swoimi configami do jednego i drugiego skryptu?

Offline

 

#4  2008-08-07 14:58:34

  Piotr3ks - Też człowiek :-)

Piotr3ks
Też człowiek :-)
Skąd: Białystok
Zarejestrowany: 2007-06-24

Re: ipp2p + Layer 7 + shorewall

Spróbuj poblokować zakresy portów :)

Offline

 

#5  2008-08-07 23:44:12

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

A jakie zakresy proponujesz? testowales jakies moze?

Offline

 

#6  2008-08-08 00:08:22

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: ipp2p + Layer 7 + shorewall

http://www.google.pl/search?hl=pl&q=blokowanie+p2p&btnG=Szukaj+w+Google&lr=


Pozdrawiam, Tomek

Offline

 

#7  2008-08-08 19:11:40

  siarka2107 - Użyszkodnik DUG

siarka2107
Użyszkodnik DUG
Skąd: Warszawa
Zarejestrowany: 2006-04-05

Re: ipp2p + Layer 7 + shorewall

zablokuj ilość połaczeń na portach różnych od 80 22 443 do 10 i po kłopocie

Offline

 

#8  2008-08-10 22:52:40

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

A mozesz mi powiedziec w jaki sposob najlepiej sie do tego zabrac?

Offline

 

#9  2008-08-11 06:54:30

  szewczyk - Stary wyjadacz :P

szewczyk
Stary wyjadacz :P
Zarejestrowany: 2006-12-03

Re: ipp2p + Layer 7 + shorewall

zacząć od czytania podstaw iptables'a

Offline

 

#10  2008-08-11 09:11:22

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

Chodzilo mi bardziej o wskazanie skryptu, ktory bylby do tego najlepszy.
Wyczytalem ze najczesniej ludzie ograniczaja polaczenia za pomoca connlimita? Pytanie tylko jak najlepiej go zestawic aby osiagnac jak najlepszy rezultat?

Mam tez pytanko o shaping, obecnie uzywam starego shaperda jednak przy wiekszej ilosci userow jak 15-20 staje sie on bardzo mulacym narzedziem. W jaki sposob najlepiej obecnie zrobic shaping w sieci?

Offline

 

#11  2008-08-11 09:15:34

  Piotr3ks - Też człowiek :-)

Piotr3ks
Też człowiek :-)
Skąd: Białystok
Zarejestrowany: 2007-06-24

Re: ipp2p + Layer 7 + shorewall

Obowiązkowa lektura:

Kod:

http://www.dug.net.pl/texty/htb.pdf

Poczytaj jeszcze o [b]niceshaper[/b]

Offline

 

#12  2008-08-11 09:37:25

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

Niceshapera chcialem kiedys odpalic, jednak na rozne sposoby go konfigurowalem i bez powodzenia nie trzymal widelek dla klienta:( Moze macie jakis sprawny config do niego?

Offline

 

#13  2008-08-11 21:21:24

  siarka2107 - Użyszkodnik DUG

siarka2107
Użyszkodnik DUG
Skąd: Warszawa
Zarejestrowany: 2006-04-05

Re: ipp2p + Layer 7 + shorewall

ja na jednej z maszyn mam niceshapera-0.6-rc5 i nie narzekam jak narazie, niceshapera mam w debie na etcha więc również mogę go wrzucić, a config jaki ja mam to:

Kod:

## /etc/niceshaper0.6/config.ns

<global>
    run download upload squid
    mark-on-ifaces eth0 eth1
    #stats file /var/www/stats/nsstats.txt unit kb/s owner root group root mode 644
    lang pl
</global>

<squid>
    iface eth1 match dstip 172.20.0.1/24
    default imq autoredirect false
    section speed 2000kbit
    section shape 1950kbit
    default low 128kbit
    default ceil 1900kbit
    default htb prio 5
    default hold 600s
    default htb scheduler esfq
    default esfq hash dst
    iptables insert-hook POSTROUTING
    reload 1s
</squid>

<download>
    iface imq0 match dstip 172.20.0.0/24
    default imq autoredirect true
    section speed 2000kbit
    section shape 1000kbit
    default low 1kbit
    default ceil 16kbit
    default htb prio 4
    default hold 600s
    default htb scheduler esfq
    default esfq hash dst
    iptables hook POSTROUTING
    reload 4s
</download>

<upload>
    iface imq1 match srcip 172.20.0.0/24
    default imq autoredirect true
    section speed 250kbit
    section shape 245kbit
    default low 16kbit
    default ceil 240kbit
    default htb prio 4
    default hold 600s
    default htb scheduler esfq
    default esfq hash src
    iptables hook PREROUTING
    reload 2s
</upload>

Kod:

## /etc/niceshaper0.6/class.ns

# Klasy dla Squida
# Zamiast dla kazdego ip osobno mozna dla wszystkich razem tzn:
#
#class squid eth0 squid_Wszys
#    match from localhost srcip 10.10.0.1 dstip 10.10.0.2/27 proto tcp tos 0x8

class squid eth1 kilinskiego17
    match from localhost srcip 172.20.0.40 dstip 172.20.0.1 proto tcp tos 0x8


#Pasmo dla ssh i strony www lokalnie

class download imq0 ssh_www_ping
     match srcip 172.20.0.1 srcport 22 proto tcp dstip 172.20.0.0/24
     match srcip 172.20.0.1 srcport 80 proto tcp dstip 172.20.0.0/24
     match srcip 172.20.0.1 proto icmp dstip 172.20.0.0/24
     rate 512kbit
     wrapper
class upload imq1 ssh_www_ping
     match dstip 172.20.0.1 dstport 22 proto tcp srcip 172.20.0.0/24
     match dstip 172.20.0.1 dstport 80 proto tcp srcip 172.20.0.0/24
     match dstip 172.20.0.1 proto icmp srcip 172.20.0.0/24
     rate 200kbit
     wrapper

# Dodatkowe pasmo dla Skypa znakowanie za pomoca Layer7
# w wersji przykladowej zablokowane :-)
#class download imq0 skype
#    match dstip 10.10.0.0/27 mark 0x998
#    match dstip 10.10.0.0/27 mark 0x999
#     htb prio 3
#     low 128kbit
#     ceil 150kbit
#class upload imq1 skype
#    match srcip 10.10.0.0/27 mark 0x998
#    match srcip 10.10.0.0/27 mark 0x999
#     htb prio 3
#     low 24kbit
#     ceil 150kbit

# Klasy dla downloadu i uploadu zrealizowane na interfejsach wirtualnych

class download imq0 kilinskiego17
    match dstip 172.20.0.40
    ceil 950kbit
class upload imq1 kilinskiego17
    match srcip 172.20.0.40
    ceil 64kbit

jak widać config dostosowany również do pracy ze squidem

Ostatnio edytowany przez siarka2107 (2008-08-11 21:23:06)

Offline

 

#14  2008-08-11 21:30:41

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: ipp2p + Layer 7 + shorewall

1. p2p mozesz ograniczyc ale nie zablokujesz go na 100% chyba ze jakies pedalskie proxy uzyjesz czego nikt nie lubi :P
2. nawet jesli bys zablokowal p2p to ludzie przejda na p2m, a tego nie zablokujesz chyba ze poczte zabanujesz :P (p2m tez hula po 80 porcie :PPPP )
3. ratuje cie jeszcze ogancienie ruchcu peruser ale do tego pasuje ci jakis pozadny systemik na hfsc (htp nie wystarczy !!!! przecieki)


[url=http://dug.net.pl][b]DUG[/b][/url]

Offline

 

#15  2008-08-11 21:39:29

  siarka2107 - Użyszkodnik DUG

siarka2107
Użyszkodnik DUG
Skąd: Warszawa
Zarejestrowany: 2006-04-05

Re: ipp2p + Layer 7 + shorewall

Tak odbiegając deko od tematu to był kiedyś [url=http://forum.dug.net.pl/viewtopic.php?id=10843]post[/url] na temat nowego skryptu do podziału łącza, może by co skonstruować BiExi

Offline

 

#16  2008-08-12 00:16:58

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

Dzieki siarka2107 :-) Mam jeszcze pytanko na ilu userkach go testowales maksymalnie?

Wczesniej wspominales zeby ograniczyc ilosc polaczen i zostawic tylko porty 80 22 443 w spokoju. Mozna to zalatwic w taki sposob: iptables -t mangle -A FORWARD --dport 0:79 -m connlimit --connlimit-above 50 -j DROP czy proponujesz jakos inaczej? mam na mysli ksztalt/forme regolki?

Offline

 

#17  2008-08-12 07:44:03

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: ipp2p + Layer 7 + shorewall

Kod:

iptables -P FORWARD DROP
iptables -A FORWARD -p TCP -m multiport --dports 80,22,443 -j ACCEPT
iptables -A FORWARD -m connlimit ! --connlimit-above 50 -j ACCEPT

Ale to IMO głupie ;]

Ostatnio edytowany przez urug (2008-08-12 07:46:43)


Pozdrawiam, Tomek

Offline

 

#18  2008-08-12 09:16:16

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

Tak by bylo dla calej sieci, a gdybym chcial rozpatrywac liczbe polaczen dla poszczegolnych uzytkownikow?

hmmm glupie? jestem otwarty na inne propozycje rozwiazujace moj problem:P

Offline

 

#19  2008-08-12 11:25:19

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: ipp2p + Layer 7 + shorewall

connlimit robi limity dla poszczególnych adresów IP, a nie globalnie dla całej sieci.

A co do głupie, to trochę się z tym pospieszyłem, bo to zależy od zasad u Was panujących, ale 50 połączeń to jest mało, wystarczy że się zapełnią, a użytkownik zostanie odcięty od wszystkich nieprzewidzianych przez Ciebie usług. Inna sprawa, że 50 połączeń najszybciej zapełnią programy p2p więc w pewnym sensie osiągniesz zamierzony efekt - użytkownik sam się będzie karał ;>


Pozdrawiam, Tomek

Offline

 

#20  2008-08-13 01:04:55

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

A mozecie Mi jeszcze powiedziec jak najlepiej ograniczyc statycznie downlad/upload na konkretnym jednym porcie dla poszczegolnych uzytkownikow? np. Dla samego portu 80 -> 1024/128? dla kazdego uzytkownika oddzielnie.

Offline

 

#21  2008-08-13 01:13:54

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: ipp2p + Layer 7 + shorewall

tc (HTB)


Pozdrawiam, Tomek

Offline

 

#22  2008-08-18 23:06:40

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

Mam pytanko, zaczalem przegladac logi i zauwazylem ze layer 7 wywala mi nastepujacy komunikat:
kernel: layer7: couldn't get conntrack.
last message repeated 17 times
Moze ktos wie jak sobie z tym poradzic? lub moze warto wrocic do samego ipp2p? gdyz zauwazylem ze w obliczu szyfrowanych naglowkow w pakietach realnie Layer 7 chociaz nowszy to tyle samo moze zdzialac co starszy i stabilniejszy ipp2p?

Offline

 

#23  2008-08-18 23:22:58

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: ipp2p + Layer 7 + shorewall

ipp2p już nie jest chyba rozwijany. Podobnie jak starszy iptables-p2p. Wszystkie tego typu moduły po pewnym czasie wymierają, to chyba naturalne :D

layer7 z tego co widzę jest dalej rozwijany - i na pewno będzie, bo ma nieporównywalnie większe możliwości. Jego bym się na Twoim miejscu trzymał ;]

A co do errora:
http://www.nabble.com/"layer7:-couldn't-get-conntrack"-td14264798.html


Pozdrawiam, Tomek

Offline

 

#24  2008-08-19 00:13:52

  kolega_4 - Użytkownik

kolega_4
Użytkownik
Zarejestrowany: 2008-08-06

Re: ipp2p + Layer 7 + shorewall

Potestuje rozwiazanie tego errora, jednak mam pytanko. Wczesniej podawales regolke:
iptables -P FORWARD DROP
iptables -A FORWARD -p TCP -m multiport --dports 80,22,443 -j ACCEPT
iptables -A FORWARD -m connlimit ! --connlimit-above 50 -j ACCEPT
Jesli natomiat chcialbym rozniez zaczepic o porty udp to moge to zapisac jako dodatkowy wiersz:
iptables -A FORWARD -p UDP -m multiport --dports 80,22,443 -j ACCEPT
Czy jakos inaczej to rozwiazac?

Offline

 

#25  2008-08-19 00:21:21

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: ipp2p + Layer 7 + shorewall

Doklej tą regułkę na 2 miejscu i będzie ok.


Pozdrawiam, Tomek

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.016 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00009 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00145 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.138.102.202' WHERE u.id=1
0.00095 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.138.102.202', 1731745927)
0.00064 SELECT * FROM punbb_online WHERE logged<1731745627
0.00099 DELETE FROM punbb_online WHERE ident='18.214.138.148'
0.00101 SELECT topic_id FROM punbb_posts WHERE id=96245
0.00006 SELECT id FROM punbb_posts WHERE topic_id=11997 ORDER BY posted
0.00093 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=11997 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00334 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=11997 ORDER BY p.id LIMIT 0,25
0.00163 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=11997
Total query time: 0.01119 s