Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam!
Interesuje mnie calkowita blokada p2p w sieci na serwerze - debian. Zainstalowalem sobie ipp2p oraz Layer 7. Testowalem juz rozne swoje koncepcje jednak do kazdej mam jakies ale. Chcialbym prosic o podanie sprawdzonych regolek konfiguracyjnych ktore wycinaja jak najwiecej ruchu p2p. Najlepiej cala konfiguracje tych modulow w takiej postaci aby dropowaly jak najwiecej.
Czy da sie w jakis sposob za pomoca tych skryptow zablokowac szyfrowane polaczenie utorenta lub Aresa? Jesli nie to czy jest na to jakas skuteczna metoda?
Prosze o informacje kolegow, ktorzy pracowali na tych modulach.
Pozdrawiam!
Offline
Niestety szyfromany muł+torrent dalej mi przechodzi :/
Ostatnio edytowany przez maro (2008-08-07 09:28:11)
Offline
A mozesz podzielic sie swoimi configami do jednego i drugiego skryptu?
Offline
Spróbuj poblokować zakresy portów :)
Offline
A jakie zakresy proponujesz? testowales jakies moze?
Offline
zablokuj ilość połaczeń na portach różnych od 80 22 443 do 10 i po kłopocie
Offline
A mozesz mi powiedziec w jaki sposob najlepiej sie do tego zabrac?
Offline
zacząć od czytania podstaw iptables'a
Offline
Chodzilo mi bardziej o wskazanie skryptu, ktory bylby do tego najlepszy.
Wyczytalem ze najczesniej ludzie ograniczaja polaczenia za pomoca connlimita? Pytanie tylko jak najlepiej go zestawic aby osiagnac jak najlepszy rezultat?
Mam tez pytanko o shaping, obecnie uzywam starego shaperda jednak przy wiekszej ilosci userow jak 15-20 staje sie on bardzo mulacym narzedziem. W jaki sposob najlepiej obecnie zrobic shaping w sieci?
Offline
Obowiązkowa lektura:
http://www.dug.net.pl/texty/htb.pdf
Poczytaj jeszcze o [b]niceshaper[/b]
Offline
Niceshapera chcialem kiedys odpalic, jednak na rozne sposoby go konfigurowalem i bez powodzenia nie trzymal widelek dla klienta:( Moze macie jakis sprawny config do niego?
Offline
ja na jednej z maszyn mam niceshapera-0.6-rc5 i nie narzekam jak narazie, niceshapera mam w debie na etcha więc również mogę go wrzucić, a config jaki ja mam to:
## /etc/niceshaper0.6/config.ns <global> run download upload squid mark-on-ifaces eth0 eth1 #stats file /var/www/stats/nsstats.txt unit kb/s owner root group root mode 644 lang pl </global> <squid> iface eth1 match dstip 172.20.0.1/24 default imq autoredirect false section speed 2000kbit section shape 1950kbit default low 128kbit default ceil 1900kbit default htb prio 5 default hold 600s default htb scheduler esfq default esfq hash dst iptables insert-hook POSTROUTING reload 1s </squid> <download> iface imq0 match dstip 172.20.0.0/24 default imq autoredirect true section speed 2000kbit section shape 1000kbit default low 1kbit default ceil 16kbit default htb prio 4 default hold 600s default htb scheduler esfq default esfq hash dst iptables hook POSTROUTING reload 4s </download> <upload> iface imq1 match srcip 172.20.0.0/24 default imq autoredirect true section speed 250kbit section shape 245kbit default low 16kbit default ceil 240kbit default htb prio 4 default hold 600s default htb scheduler esfq default esfq hash src iptables hook PREROUTING reload 2s </upload>
## /etc/niceshaper0.6/class.ns # Klasy dla Squida # Zamiast dla kazdego ip osobno mozna dla wszystkich razem tzn: # #class squid eth0 squid_Wszys # match from localhost srcip 10.10.0.1 dstip 10.10.0.2/27 proto tcp tos 0x8 class squid eth1 kilinskiego17 match from localhost srcip 172.20.0.40 dstip 172.20.0.1 proto tcp tos 0x8 #Pasmo dla ssh i strony www lokalnie class download imq0 ssh_www_ping match srcip 172.20.0.1 srcport 22 proto tcp dstip 172.20.0.0/24 match srcip 172.20.0.1 srcport 80 proto tcp dstip 172.20.0.0/24 match srcip 172.20.0.1 proto icmp dstip 172.20.0.0/24 rate 512kbit wrapper class upload imq1 ssh_www_ping match dstip 172.20.0.1 dstport 22 proto tcp srcip 172.20.0.0/24 match dstip 172.20.0.1 dstport 80 proto tcp srcip 172.20.0.0/24 match dstip 172.20.0.1 proto icmp srcip 172.20.0.0/24 rate 200kbit wrapper # Dodatkowe pasmo dla Skypa znakowanie za pomoca Layer7 # w wersji przykladowej zablokowane :-) #class download imq0 skype # match dstip 10.10.0.0/27 mark 0x998 # match dstip 10.10.0.0/27 mark 0x999 # htb prio 3 # low 128kbit # ceil 150kbit #class upload imq1 skype # match srcip 10.10.0.0/27 mark 0x998 # match srcip 10.10.0.0/27 mark 0x999 # htb prio 3 # low 24kbit # ceil 150kbit # Klasy dla downloadu i uploadu zrealizowane na interfejsach wirtualnych class download imq0 kilinskiego17 match dstip 172.20.0.40 ceil 950kbit class upload imq1 kilinskiego17 match srcip 172.20.0.40 ceil 64kbit
jak widać config dostosowany również do pracy ze squidem
Ostatnio edytowany przez siarka2107 (2008-08-11 21:23:06)
Offline
1. p2p mozesz ograniczyc ale nie zablokujesz go na 100% chyba ze jakies pedalskie proxy uzyjesz czego nikt nie lubi :P
2. nawet jesli bys zablokowal p2p to ludzie przejda na p2m, a tego nie zablokujesz chyba ze poczte zabanujesz :P (p2m tez hula po 80 porcie :PPPP )
3. ratuje cie jeszcze ogancienie ruchcu peruser ale do tego pasuje ci jakis pozadny systemik na hfsc (htp nie wystarczy !!!! przecieki)
Offline
Tak odbiegając deko od tematu to był kiedyś [url=http://forum.dug.net.pl/viewtopic.php?id=10843]post[/url] na temat nowego skryptu do podziału łącza, może by co skonstruować BiExi
Offline
Dzieki siarka2107 :-) Mam jeszcze pytanko na ilu userkach go testowales maksymalnie?
Wczesniej wspominales zeby ograniczyc ilosc polaczen i zostawic tylko porty 80 22 443 w spokoju. Mozna to zalatwic w taki sposob: iptables -t mangle -A FORWARD --dport 0:79 -m connlimit --connlimit-above 50 -j DROP czy proponujesz jakos inaczej? mam na mysli ksztalt/forme regolki?
Offline
iptables -P FORWARD DROP iptables -A FORWARD -p TCP -m multiport --dports 80,22,443 -j ACCEPT iptables -A FORWARD -m connlimit ! --connlimit-above 50 -j ACCEPT
Ale to IMO głupie ;]
Ostatnio edytowany przez urug (2008-08-12 07:46:43)
Offline
Tak by bylo dla calej sieci, a gdybym chcial rozpatrywac liczbe polaczen dla poszczegolnych uzytkownikow?
hmmm glupie? jestem otwarty na inne propozycje rozwiazujace moj problem:P
Offline
connlimit robi limity dla poszczególnych adresów IP, a nie globalnie dla całej sieci.
A co do głupie, to trochę się z tym pospieszyłem, bo to zależy od zasad u Was panujących, ale 50 połączeń to jest mało, wystarczy że się zapełnią, a użytkownik zostanie odcięty od wszystkich nieprzewidzianych przez Ciebie usług. Inna sprawa, że 50 połączeń najszybciej zapełnią programy p2p więc w pewnym sensie osiągniesz zamierzony efekt - użytkownik sam się będzie karał ;>
Offline
A mozecie Mi jeszcze powiedziec jak najlepiej ograniczyc statycznie downlad/upload na konkretnym jednym porcie dla poszczegolnych uzytkownikow? np. Dla samego portu 80 -> 1024/128? dla kazdego uzytkownika oddzielnie.
Offline
Mam pytanko, zaczalem przegladac logi i zauwazylem ze layer 7 wywala mi nastepujacy komunikat:
kernel: layer7: couldn't get conntrack.
last message repeated 17 times
Moze ktos wie jak sobie z tym poradzic? lub moze warto wrocic do samego ipp2p? gdyz zauwazylem ze w obliczu szyfrowanych naglowkow w pakietach realnie Layer 7 chociaz nowszy to tyle samo moze zdzialac co starszy i stabilniejszy ipp2p?
Offline
ipp2p już nie jest chyba rozwijany. Podobnie jak starszy iptables-p2p. Wszystkie tego typu moduły po pewnym czasie wymierają, to chyba naturalne :D
layer7 z tego co widzę jest dalej rozwijany - i na pewno będzie, bo ma nieporównywalnie większe możliwości. Jego bym się na Twoim miejscu trzymał ;]
A co do errora:
http://www.nabble.com/"layer7:-couldn't-get-conntrack"-td14264798.html
Offline
Potestuje rozwiazanie tego errora, jednak mam pytanko. Wczesniej podawales regolke:
iptables -P FORWARD DROP
iptables -A FORWARD -p TCP -m multiport --dports 80,22,443 -j ACCEPT
iptables -A FORWARD -m connlimit ! --connlimit-above 50 -j ACCEPT
Jesli natomiat chcialbym rozniez zaczepic o porty udp to moge to zapisac jako dodatkowy wiersz:
iptables -A FORWARD -p UDP -m multiport --dports 80,22,443 -j ACCEPT
Czy jakos inaczej to rozwiazac?
Offline
Time (s) | Query |
---|---|
0.00015 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00141 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.114.109' WHERE u.id=1 |
0.00077 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.114.109', 1731745209) |
0.00052 | SELECT * FROM punbb_online WHERE logged<1731744909 |
0.00039 | SELECT topic_id FROM punbb_posts WHERE id=96326 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=11997 ORDER BY posted |
0.00051 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=11997 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00134 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=11997 ORDER BY p.id LIMIT 0,25 |
0.00117 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=11997 |
Total query time: 0.00642 s |