Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2008-08-06 14:10:44
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
ipp2p + Layer 7 + shorewall
Witam!
Interesuje mnie calkowita blokada p2p w sieci na serwerze - debian. Zainstalowalem sobie ipp2p oraz Layer 7. Testowalem juz rozne swoje koncepcje jednak do kazdej mam jakies ale. Chcialbym prosic o podanie sprawdzonych regolek konfiguracyjnych ktore wycinaja jak najwiecej ruchu p2p. Najlepiej cala konfiguracje tych modulow w takiej postaci aby dropowaly jak najwiecej.
Czy da sie w jakis sposob za pomoca tych skryptow zablokowac szyfrowane polaczenie utorenta lub Aresa? Jesli nie to czy jest na to jakas skuteczna metoda?
Prosze o informacje kolegow, ktorzy pracowali na tych modulach.
Pozdrawiam!
Offline
#2 2008-08-07 09:27:59
maro - 
Użytkownik
- maro
- Użytkownik
- Zarejestrowany: 2006-10-21
Re: ipp2p + Layer 7 + shorewall
Niestety szyfromany muł+torrent dalej mi przechodzi :/
Ostatnio edytowany przez maro (2008-08-07 09:28:11)
Offline
#3 2008-08-07 11:30:37
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
A mozesz podzielic sie swoimi configami do jednego i drugiego skryptu?
Offline
#4 2008-08-07 14:58:34
Piotr3ks - Też człowiek :-)
- Piotr3ks
- Też człowiek :-)
- Skąd: Białystok
- Zarejestrowany: 2007-06-24
Re: ipp2p + Layer 7 + shorewall
Spróbuj poblokować zakresy portów :)
Offline
#5 2008-08-07 23:44:12
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
A jakie zakresy proponujesz? testowales jakies moze?
Offline
#6 2008-08-08 00:08:22
urug - Członek DUG
#7 2008-08-08 19:11:40
siarka2107 - Użyszkodnik DUG
- siarka2107
- Użyszkodnik DUG
- Skąd: Warszawa
- Zarejestrowany: 2006-04-05
Re: ipp2p + Layer 7 + shorewall
zablokuj ilość połaczeń na portach różnych od 80 22 443 do 10 i po kłopocie
Offline
#8 2008-08-10 22:52:40
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
A mozesz mi powiedziec w jaki sposob najlepiej sie do tego zabrac?
Offline
#9 2008-08-11 06:54:30
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: ipp2p + Layer 7 + shorewall
zacząć od czytania podstaw iptables'a
Offline
#10 2008-08-11 09:11:22
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
Chodzilo mi bardziej o wskazanie skryptu, ktory bylby do tego najlepszy.
Wyczytalem ze najczesniej ludzie ograniczaja polaczenia za pomoca connlimita? Pytanie tylko jak najlepiej go zestawic aby osiagnac jak najlepszy rezultat?
Mam tez pytanko o shaping, obecnie uzywam starego shaperda jednak przy wiekszej ilosci userow jak 15-20 staje sie on bardzo mulacym narzedziem. W jaki sposob najlepiej obecnie zrobic shaping w sieci?
Offline
#11 2008-08-11 09:15:34
Piotr3ks - Też człowiek :-)
- Piotr3ks
- Też człowiek :-)
- Skąd: Białystok
- Zarejestrowany: 2007-06-24
Re: ipp2p + Layer 7 + shorewall
Obowiązkowa lektura:
Kod:
http://www.dug.net.pl/texty/htb.pdf
Poczytaj jeszcze o [b]niceshaper[/b]
Offline
#12 2008-08-11 09:37:25
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
Niceshapera chcialem kiedys odpalic, jednak na rozne sposoby go konfigurowalem i bez powodzenia nie trzymal widelek dla klienta:( Moze macie jakis sprawny config do niego?
Offline
#13 2008-08-11 21:21:24
siarka2107 - Użyszkodnik DUG
- siarka2107
- Użyszkodnik DUG
- Skąd: Warszawa
- Zarejestrowany: 2006-04-05
Re: ipp2p + Layer 7 + shorewall
ja na jednej z maszyn mam niceshapera-0.6-rc5 i nie narzekam jak narazie, niceshapera mam w debie na etcha więc również mogę go wrzucić, a config jaki ja mam to:
Kod:
## /etc/niceshaper0.6/config.ns
<global>
run download upload squid
mark-on-ifaces eth0 eth1
#stats file /var/www/stats/nsstats.txt unit kb/s owner root group root mode 644
lang pl
</global>
<squid>
iface eth1 match dstip 172.20.0.1/24
default imq autoredirect false
section speed 2000kbit
section shape 1950kbit
default low 128kbit
default ceil 1900kbit
default htb prio 5
default hold 600s
default htb scheduler esfq
default esfq hash dst
iptables insert-hook POSTROUTING
reload 1s
</squid>
<download>
iface imq0 match dstip 172.20.0.0/24
default imq autoredirect true
section speed 2000kbit
section shape 1000kbit
default low 1kbit
default ceil 16kbit
default htb prio 4
default hold 600s
default htb scheduler esfq
default esfq hash dst
iptables hook POSTROUTING
reload 4s
</download>
<upload>
iface imq1 match srcip 172.20.0.0/24
default imq autoredirect true
section speed 250kbit
section shape 245kbit
default low 16kbit
default ceil 240kbit
default htb prio 4
default hold 600s
default htb scheduler esfq
default esfq hash src
iptables hook PREROUTING
reload 2s
</upload>Kod:
## /etc/niceshaper0.6/class.ns
# Klasy dla Squida
# Zamiast dla kazdego ip osobno mozna dla wszystkich razem tzn:
#
#class squid eth0 squid_Wszys
# match from localhost srcip 10.10.0.1 dstip 10.10.0.2/27 proto tcp tos 0x8
class squid eth1 kilinskiego17
match from localhost srcip 172.20.0.40 dstip 172.20.0.1 proto tcp tos 0x8
#Pasmo dla ssh i strony www lokalnie
class download imq0 ssh_www_ping
match srcip 172.20.0.1 srcport 22 proto tcp dstip 172.20.0.0/24
match srcip 172.20.0.1 srcport 80 proto tcp dstip 172.20.0.0/24
match srcip 172.20.0.1 proto icmp dstip 172.20.0.0/24
rate 512kbit
wrapper
class upload imq1 ssh_www_ping
match dstip 172.20.0.1 dstport 22 proto tcp srcip 172.20.0.0/24
match dstip 172.20.0.1 dstport 80 proto tcp srcip 172.20.0.0/24
match dstip 172.20.0.1 proto icmp srcip 172.20.0.0/24
rate 200kbit
wrapper
# Dodatkowe pasmo dla Skypa znakowanie za pomoca Layer7
# w wersji przykladowej zablokowane :-)
#class download imq0 skype
# match dstip 10.10.0.0/27 mark 0x998
# match dstip 10.10.0.0/27 mark 0x999
# htb prio 3
# low 128kbit
# ceil 150kbit
#class upload imq1 skype
# match srcip 10.10.0.0/27 mark 0x998
# match srcip 10.10.0.0/27 mark 0x999
# htb prio 3
# low 24kbit
# ceil 150kbit
# Klasy dla downloadu i uploadu zrealizowane na interfejsach wirtualnych
class download imq0 kilinskiego17
match dstip 172.20.0.40
ceil 950kbit
class upload imq1 kilinskiego17
match srcip 172.20.0.40
ceil 64kbitjak widać config dostosowany również do pracy ze squidem
Ostatnio edytowany przez siarka2107 (2008-08-11 21:23:06)
Offline
#14 2008-08-11 21:30:41
BiExi - matka przelozona
Re: ipp2p + Layer 7 + shorewall
1. p2p mozesz ograniczyc ale nie zablokujesz go na 100% chyba ze jakies pedalskie proxy uzyjesz czego nikt nie lubi :P
2. nawet jesli bys zablokowal p2p to ludzie przejda na p2m, a tego nie zablokujesz chyba ze poczte zabanujesz :P (p2m tez hula po 80 porcie :PPPP )
3. ratuje cie jeszcze ogancienie ruchcu peruser ale do tego pasuje ci jakis pozadny systemik na hfsc (htp nie wystarczy !!!! przecieki)
[url=http://dug.net.pl][b]DUG[/b][/url]
Offline
#15 2008-08-11 21:39:29
siarka2107 - Użyszkodnik DUG
- siarka2107
- Użyszkodnik DUG
- Skąd: Warszawa
- Zarejestrowany: 2006-04-05
Re: ipp2p + Layer 7 + shorewall
Tak odbiegając deko od tematu to był kiedyś [url=http://forum.dug.net.pl/viewtopic.php?id=10843]post[/url] na temat nowego skryptu do podziału łącza, może by co skonstruować BiExi
Offline
#16 2008-08-12 00:16:58
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
Dzieki siarka2107 :-) Mam jeszcze pytanko na ilu userkach go testowales maksymalnie?
Wczesniej wspominales zeby ograniczyc ilosc polaczen i zostawic tylko porty 80 22 443 w spokoju. Mozna to zalatwic w taki sposob: iptables -t mangle -A FORWARD --dport 0:79 -m connlimit --connlimit-above 50 -j DROP czy proponujesz jakos inaczej? mam na mysli ksztalt/forme regolki?
Offline
#17 2008-08-12 07:44:03
urug - Członek DUG
Re: ipp2p + Layer 7 + shorewall
Kod:
iptables -P FORWARD DROP iptables -A FORWARD -p TCP -m multiport --dports 80,22,443 -j ACCEPT iptables -A FORWARD -m connlimit ! --connlimit-above 50 -j ACCEPT
Ale to IMO głupie ;]
Ostatnio edytowany przez urug (2008-08-12 07:46:43)
Pozdrawiam, Tomek
Offline
#18 2008-08-12 09:16:16
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
Tak by bylo dla calej sieci, a gdybym chcial rozpatrywac liczbe polaczen dla poszczegolnych uzytkownikow?
hmmm glupie? jestem otwarty na inne propozycje rozwiazujace moj problem:P
Offline
#19 2008-08-12 11:25:19
urug - Członek DUG
Re: ipp2p + Layer 7 + shorewall
connlimit robi limity dla poszczególnych adresów IP, a nie globalnie dla całej sieci.
A co do głupie, to trochę się z tym pospieszyłem, bo to zależy od zasad u Was panujących, ale 50 połączeń to jest mało, wystarczy że się zapełnią, a użytkownik zostanie odcięty od wszystkich nieprzewidzianych przez Ciebie usług. Inna sprawa, że 50 połączeń najszybciej zapełnią programy p2p więc w pewnym sensie osiągniesz zamierzony efekt - użytkownik sam się będzie karał ;>
Pozdrawiam, Tomek
Offline
#20 2008-08-13 01:04:55
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
A mozecie Mi jeszcze powiedziec jak najlepiej ograniczyc statycznie downlad/upload na konkretnym jednym porcie dla poszczegolnych uzytkownikow? np. Dla samego portu 80 -> 1024/128? dla kazdego uzytkownika oddzielnie.
Offline
#21 2008-08-13 01:13:54
urug - Członek DUG
#22 2008-08-18 23:06:40
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
Mam pytanko, zaczalem przegladac logi i zauwazylem ze layer 7 wywala mi nastepujacy komunikat:
kernel: layer7: couldn't get conntrack.
last message repeated 17 times
Moze ktos wie jak sobie z tym poradzic? lub moze warto wrocic do samego ipp2p? gdyz zauwazylem ze w obliczu szyfrowanych naglowkow w pakietach realnie Layer 7 chociaz nowszy to tyle samo moze zdzialac co starszy i stabilniejszy ipp2p?
Offline
#23 2008-08-18 23:22:58
urug - Członek DUG
Re: ipp2p + Layer 7 + shorewall
ipp2p już nie jest chyba rozwijany. Podobnie jak starszy iptables-p2p. Wszystkie tego typu moduły po pewnym czasie wymierają, to chyba naturalne :D
layer7 z tego co widzę jest dalej rozwijany - i na pewno będzie, bo ma nieporównywalnie większe możliwości. Jego bym się na Twoim miejscu trzymał ;]
A co do errora:
http://www.nabble.com/"layer7:-couldn't-get-conntrack"-td14264798.html
Pozdrawiam, Tomek
Offline
#24 2008-08-19 00:13:52
kolega_4 - Użytkownik
- kolega_4
- Użytkownik
- Zarejestrowany: 2008-08-06
Re: ipp2p + Layer 7 + shorewall
Potestuje rozwiazanie tego errora, jednak mam pytanko. Wczesniej podawales regolke:
iptables -P FORWARD DROP
iptables -A FORWARD -p TCP -m multiport --dports 80,22,443 -j ACCEPT
iptables -A FORWARD -m connlimit ! --connlimit-above 50 -j ACCEPT
Jesli natomiat chcialbym rozniez zaczepic o porty udp to moge to zapisac jako dodatkowy wiersz:
iptables -A FORWARD -p UDP -m multiport --dports 80,22,443 -j ACCEPT
Czy jakos inaczej to rozwiazac?
Offline
#25 2008-08-19 00:21:21
urug - Członek DUG
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00016 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00148 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.143.22.177' WHERE u.id=1 |
| 0.00078 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.143.22.177', 1731745743) |
| 0.00066 | SELECT * FROM punbb_online WHERE logged<1731745443 |
| 0.00123 | DELETE FROM punbb_online WHERE ident='44.195.145.102' |
| 0.00120 | DELETE FROM punbb_online WHERE ident='54.157.99.244' |
| 0.00065 | SELECT topic_id FROM punbb_posts WHERE id=96696 |
| 0.00007 | SELECT id FROM punbb_posts WHERE topic_id=11997 ORDER BY posted |
| 0.00080 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=11997 AND t.moved_to IS NULL |
| 0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00161 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=11997 ORDER BY p.id LIMIT 0,25 |
| 0.00112 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=11997 |
| Total query time: 0.00991 s | |