| Author |
Message |
|
|
Post subject: blokovanie p2p spojeni
 Posted: 20.08.2004 - 17:47 #11005
|
|
Basic
Joined: Aug 20, 2004
Posts: 3
|
|
Zdravim,
Mam router (PII-400,DEBIAN sarge,prekompilovane jadro 2.4.26, iptables 1.2.9) na ktorom bezi firewall a HTB ako traffic shaper pre cca 100 zakaznikov. Chcel by som shapovat p2p spojenia,ale najprv skusam ich blokovanie ktore mi nefunguje.Pouzil som iptables_p2p, a tiez som skusal aj ipp2p. V jednom aj druhom pripade som zkompilovane moduly natiahol a cez pravidla firewallu som ich aj pouzil (pre blokovanie)
iptables -A FORWARD -p tcp -m ipp2p --ipp2p -j DROP
alebo
iptables -A FORWARD -m p2p --p2p all -j DROP
ale dalej uzivatelia zo siete stahuju pomocou roznych p2p clientov.(kazza,torrentopia,sharreaza,winMX) Neviem preco to nechce blokovat.
Dik |
|
|
| |
|
|
|
 |
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 20.08.2004 - 23:35 #11009
|
|
Basic
Joined: Júl 12, 2004
Posts: 42
|
|
nuz ipp2p nie je vsemohuci a nevie rozoznat vsetko. Ja ten modul pouzivam tiez a z 90% dokaze odfiltrovat vsetko. P2P programy, ktore si uviedol v zatvorke nie su v dokumentacii o ipp2p (okrem kazzy). DC++ mi dokaze filtrovat so 100% uspesnostou (sam som si to skusil). A viem aj, ze to dokaze filtrovat aj kazzu (jeden clovek u mna na sieti totiz dost hojne vyuziva ten program a aj ked je neuspesny, pokusa sa stale  ), nie vsak dalsie co si uviedol.
Pokial mas v zmluve so zakaznikom zakotvene nepouzivanie p2p programov, tak moze pomoct osobny pohovor, pripadne odpojenie. Pokial nie, tak musis dufat, ze ipp2p to odfiltruje (co rozhodne vsetky p2p programy nedokaze). |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 20.08.2004 - 23:57 #11011
|
|
Basic
Joined: Okt 12, 2003
Posts: 354
|
|
dropuj im spojenie kazdych cca 30 minut na par sekund ... vecsinu p2p to prakticky odstavi od pouzivania...
inac nechapem ja ich neblokujem nijako ale tie p2p sa dostanu aj ked povolis len porty 80,21,22,23,25,110 ??? |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 21.08.2004 - 09:23 #11013
|
|
Basic
Joined: Júl 12, 2004
Posts: 42
|
|
| magnum: tak sa nedostanu nikam pokial im nepovolis udp port 53 Jedine, ze by si mal DNSko na svojej sieti a oni by ho pouzivali.... |
|
|
| |
|
|
|
|
|
|
|
Post subject: p2p war
Posted: 21.08.2004 - 10:29 #11014
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
co ma este napadlo:
urcite si zapni connmark, pretoze je nutne sledovat aj uz vytvorene spojenia (ak chces p2p odstavit do nejakej classy a nie len dropovat).
2. jmi pouziva filter ktory checkuje velkost prenesenych udajov v connection a podla toho preradi do classy, tzn. velke baliky su automaticky znevyhodnene. podla mna tiez dobra myslienka
3. dropovanie udp paketov nepovazujem za vyhru. robi to niekto? ake su vysledky? neovplyvni to negativne funcknost siete?
prosim vyjadrite sa.
mgx |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 21.08.2004 - 16:20 #11023
|
|
Ucen
Joined: Aug 20, 2003
Posts: 598
Location: Zvolen
|
|
| dropovanim UDP vramci LAN si odstavis vacsinu komunikacie na sieti. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 21.08.2004 - 18:30 #11025
|
|
Basic
Joined: Feb 18, 2003
Posts: 252
Location: Zvolen
|
|
2 popo: hmm, kto hovori o dropovani udp na LAN, nestacilo by dropnut udp na FORWARDING ?
len neviem ci si potom niekto na Inete zahra... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 21.08.2004 - 18:49 #11027
|
|
Ucen
Joined: Aug 20, 2003
Posts: 598
Location: Zvolen
|
|
| no ak dokazes povedat routru ze baliky medzi segmentalmi lanky nema dropovat a baliky do internetu a z neho maa dropovat tak potom je to OK. ale ako bude komunikovat tvoj router s routrom providera? neviem aka komuniakacia je medzi nimi tak to nejdem rozoberat. |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 21.08.2004 - 19:51 #11028
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
My sme sa dali inou cestou. Pocas debat s mgxom, mathewom a inymi adminmi sme prisli na to, ze viac ako 80% trafficu spotrebuje menej ako 20% userov. Dokonca si dovolim tvrdit, ze ich je menej nez 20%.
Face sa pokusal naprogramovat system, kde htb pocita kto kolko stiahol a podla toho im prideluje sirku pasma. Kto natahal viac, tomu to ide pomalsie, kto menej, tomu to ide rychlejsie. Tento system je podla mna principialne spravodlivy a postihuje presne tych, ktori robia bordel. Problem bol v tom, ze taketo nieco je nesmierne narocne na vypocetny vykon a v pripade nasej siete, kde mame 400 users, je to prakticky nemozne.
Filtrovanie roznymi sposobmi sice pomoze, ale castokrat postihne aj nevinnych, ci uz nahodne zablokuje nieco co nechceme blokovat, alebo zablokuje cloveka, ktory v zivote cez p2p nic netahal, len si chce nieco drobne stiahnut a nemoze. Toto povazujem za nespravne.
Takze k veci. Rozhodli sme sa ist cestou "zasluhovosti", tzn. kto tahal viacej (alebo viac ako povazujeme za unosne) medzi 8:00 az 23:00, ten bude znevyhodneny. Kedze je nemozne to urobit na momentalnej baze ako to mal urobene Face, tak sme sa rozhodli, ze napr. ipfm bude pocitat data, kto kolko natahal. Kazdych 10 minut ulozi stav a pocita nanovo. Nasledne vysledky ipfm hodime do databazy, a vyhodnotime TOP TWENTY downloaders. Dalej tychto userov dame do specialnej klassy, kde maju urcitu rychlost, ktoru si medzi sebou sharuju.
Kazdych 10 minut sa tento proces zopakuje a v pripade ze dojde k zmenam v poradi (zmenam v spravani ), mame novy rebricek TOP TWENTY. Takto je zabezpecene, ze pokial niektori nespratnici nie su ochotni tahat p2p v noci a zahuluju linku cez den "slusnym" userom, maju cast linky, kde si to mozu rozdat, ale len odtial-potial a zaroven ked sa ukludnia, dostanu sa do slusnej spolocnosti.
Vysledok?
1. priemerna rychlost sa zvysila takmer o 80%
2. zvysilo sa vytazenie linky v noci (predtym bola vyuzita len 25-30 %)
3. asi 5% uzivatelov sa zacalo nenormalne rozculovat, ze ci maju vstavat v noci kvoli stahovaniu dat
4. x % si velmi pochvaluje rychlost a zaroven sa im paci system, ze ked su cely den v robote a vecer si chcu pozriet noviny, tak im to pekne fici
Zaver:
1. ked internet, tak na vsetkych portoch
2. kazdy je strojcom svojho stastia (v nasom pripade rychlosti) |
Last edited by kiwi on 21.08.2004 - 22:01; edited 1 time in total
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 21.08.2004 - 21:23 #11032
|
|
Basic
Joined: Feb 18, 2003
Posts: 252
Location: Zvolen
|
|
to kiwi: gratulujem...
pri _kazdom_ systeme este netreba zabudnut na jednu dolezitu vec... novo pripojeni uzivatelia si nie a nie zvyknut na to, ze to co maju (rozumej pripojenie do Inetu neobmedzene casovo a datovo) nie je docasne a snazia sa pocas prvych mesiacov "stiahnut cely Inet k sebe"... po troch mesiacoch zistia, ze vlastne nikto im nic nechce zobrat, tak sa zaradia medzi ostatnych uzivatelov, lebo okrem svojich "stalych" stranok uz pomaly nevedia co maju napisat do adresy (rozumej URL) svojho browsera... mathew mal taky napad, ze pre tychto novo pripojenych vyclenit samostatnu sirku pasma a po case ich "pretriedit" medzi normalnych uzivatelov podla pravidiel ake si popisoval... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 24.08.2004 - 17:59 #11058
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
| to je psychlogia downloadera . |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 24.08.2004 - 23:18 #11084
|
|
Basic
Joined: Feb 18, 2003
Posts: 252
Location: Zvolen
|
|
2 mgx: definuj downloader...
jaaaj, beriem s5... sry... doslo mi to neskor... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 26.08.2004 - 12:36 #11130
|
|
Basic
Joined: Jún 21, 2004
Posts: 69
Location: Nove Zamky
|
|
kiwi wrote: ›...
Rozhodli sme sa ist cestou "zasluhovosti", tzn. kto tahal viacej (alebo viac ako povazujeme za unosne) medzi 8:00 az 23:00, ten bude znevyhodneny. Kedze je nemozne to urobit na momentalnej baze ako to mal urobene
...
pekne, pekne ste to poriesili. ja mam tiez podobny problem. ak mate toto riesenie niekde pristupne ... rad by som sa na to pozrel (ak bude vola).  |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 26.08.2004 - 15:03 #11139
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
takze potrebujes IPFM softik ktory pocita data. nastavili sme si ho na kazdych 10 minut aby hodil na disk sucty a vynuloval sa.
potom skriptik ktory vysledky nahodi do databazy
#!/bin/bash
#
# TRAFFICCOUNTER
#
# v.1.0 kiwi
#
clear
export YEAR=`date +%Y`
export MONTH=`date +%m`
export DAY=`date +%d`
export HOUR=`date +%H`
export MINUTE=`(date +%M)`
export MINUTE=$(($MINUTE-5));
if [ "$MINUTE" = 0 ]; then
export MINUTE="00";
fi
echo "" > /var/www/traffic.dat;
TRAFFICLIST="`grep 10.203. /var/log/ipfm10minutes/$(date +%Y_%m_%d/%H_)$MINUTE`";
x=0;
for ONEROW in $TRAFFICLIST; do
echo $ONEROW;
RESULT="`echo $ONEROW|cut -f1 `";
x=$((x+1));
echo $x;
if [ "$x" = 1 ];then
IP="`echo $RESULT`";
fi
if [ "$x" = 2 ];then
BYTES_IN="`echo $RESULT`";
fi
if [ "$x" = 3 ];then
BYTES_OUT="`echo $RESULT`";
fi
if [ "$x" = 4 ];then
BYTES_TOTAL="`echo $RESULT`";
x=0
echo "INSERT INTO traffic (ip,bytes_in,bytes_out,bytes_total, year, month, day, hour, minute) values ('$IP','$BYTES_IN','$BYTES_OUT','$BYTES_TOTAL','$YEAR','$MONTH','$DAY','$HOUR','$MINUTE');" >> /var/www/traffic.dat;
fi
done
nasledne to nahodime do databazy
mysql databaza<traffic.dat -u user -ppassword
a potom uz v php generujeme vystupy a ovplyvnujeme classes
(ja viem ze je to neuveritelne amatersky urobene, ale funguje to , na druhej strane rad opravim veci ktore sa daju urobit aj lepsie) |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: blokovanie p2p spojeni
Posted: 29.08.2004 - 11:39 #11180
|
|
Basic
Joined: Okt 12, 2003
Posts: 354
|
|
ja len ze uz davno tu nebola takato pekna diskusia s este krajsim vysledkom...
@holden: ja som pisal ze ich neblokujem vobec ale dns mam na vlastnej sieti lebo niektori su schopny nastavit si to do takeho vietnamu ze minutu cakaju na resolvovanie a potom nadavaju na mna tak radsej im to prikazem nastavit do intranetu a hotovo... |
|
|
| |
|
|
|
|
|
|
