| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| firewall i blokada czasowa p2p http://forum.freesco.pl/viewtopic.php?f=22&t=13058 |
Strona 1 z 1 |
| Autor: | mazol [ poniedziałek, 24 lipca 2006, 17:38 ] |
| Tytuł: | firewall i blokada czasowa p2p |
Witam uzywam firewalla czerwo i wprowadzilem czasowa blokade p2p (14-21) niektorym osobom. Niby dziala ale... Po godzinie 14 p2p dalej sciaga jesli sie nie wylaczy programui uruchomi ponownie co w niektorych przypadkach (userow) jest wrecz cudem. Czy jest mozliwosc aby o danej godzinie w ktorej ma zostac wlaczona blokada odrazu odcinalo p2p jak rowniez nawiazane juz polaczenia i uniemozliwilo dalsze sciaganie? Jesli koles ma od rana do wieczora wlaczonego kompa to moze ciagnac ile fabryka daje... W pliku @firewall w /etc/nndconf znalazlem fragment ktory ma za zadanie blokowac p2p: #p2p ilosc_grup=`cat $config/p2p_config | cut -d "#" -f 1 | grep -c "gr.="` x=1 while [ $x -le $ilosc_grup ]; do a=`cat $config/p2p_config | grep "gr$x=" | cut -d "=" -f2 | cut -d "," -f1` #blokada czasowa!! if [ $a = czasowa ]; then start=`cat $config/p2p_config | grep "gr$x=" | cut -d "=" -f2 | cut -d "," -f2` stop=`cat $config/p2p_config | grep "gr$x=" | cut -d "=" -f2 | cut -d "," -f3` ipwszystkie=`cat $config/p2p_config | grep "gr$x," | cut -d "," -f 2 | tr ";" "\n" | wc -l` until [ $ipwszystkie -le 0 ]; do IP=`cat $config/p2p_config | grep "gr$x," | cut -d "," -f 2 | cut -d ";" -f $ipwszystkie` #$i -A FORWARD -s $IP -p tcp -m time --timestart $start --timestop $stop -m ipp2p --ipp2p -j DROP #$i -A FORWARD -s $IP -p tcp -m time --timestart $start --timestop $stop -m ipp2p --ipp2p-data -j DROP $i -A FORWARD -s $IP -p tcp -m time --timestart $start --timestop $stop -m ipp2p --edk --kazaa --gnu --dc --bit --apple --soul --winmx --ares -j DROP #$i -A FORWARD -d $IP -p tcp -m time --timestart $start --timestop $stop -m ipp2p --ipp2p -j DROP #$i -A FORWARD -d $IP -p tcp -m time --timestart $start --timestop $stop -m ipp2p --ipp2p-data -j DROP $i -A FORWARD -d $IP -p tcp -m time --timestart $start --timestop $stop -m ipp2p --edk --kazaa --gnu --dc --bit --apple --soul --winmx --ares -j DROP ipwszystkie=$[ipwszystkie - 1] done fi #blokada calkowita!! if [ $a = calkowita ]; then ipwszystkie=`cat $config/p2p_config | grep "gr$x," | cut -d "," -f 2 | tr ";" "\n" | wc -l` until [ $ipwszystkie -le 0 ]; do IP=`cat $config/p2p_config | grep "gr$x," | cut -d "," -f 2 | cut -d ";" -f $ipwszystkie` #$i -A FORWARD -s $IP -p TCP -m ipp2p --ipp2p -j DROP #$i -A FORWARD -d $IP -p TCP -m ipp2p --ipp2p -j DROP #$i -A FORWARD -s $IP -p TCP -m ipp2p --ipp2p-data -j DROP #$i -A FORWARD -d $IP -p TCP -m ipp2p --ipp2p-data -j DROP $i -A FORWARD -s $IP -p TCP -m ipp2p --edk --kazaa --gnu --dc --bit --apple --soul --winmx --ares -j DROP $i -A FORWARD -d $IP -p TCP -m ipp2p --edk --kazaa --gnu --dc --bit --apple --soul --winmx --ares -j DROP ipwszystkie=$[ipwszystkie - 1] done fi x=$[x + 1] done #p2p koniec Czy tutaj mozna dodac jakas linijke ktora skutecznie zablokuje o danej godzinie p2p mimo ze program aktualnie zasysa? pozdrawiam |
|
| Autor: | hx [ poniedziałek, 24 lipca 2006, 20:19 ] |
| Tytuł: | |
http://forum.freesco.pl/viewtopic.php?t ... t=clrconns |
|
| Autor: | tasiorek [ poniedziałek, 24 lipca 2006, 20:51 ] |
| Tytuł: | |
Regula blokujaca musi znalezc sie przed regula przepuszczajaca pakiety juz nawiazanych polaczen. Inaczej mowiac zamien -A na -I w regulach blokujacych p2p. |
|
| Autor: | mazol [ poniedziałek, 24 lipca 2006, 22:43 ] |
| Tytuł: | |
@hx z tamtego tematu nie wynika nic w sumie. CLRCONNS niestety nic nie pomaga w tym przypadku... @tasiorek $i -A FORWARD -s $IP -p tcp -m time --timestart $start --timestop $stop $i -A FORWARD -d $IP -p tcp -m time --timestart $start --timestop $stop W obu tych linijkach mam zmienic -A na -I? |
|
| Autor: | czerwo [ poniedziałek, 24 lipca 2006, 23:24 ] |
| Tytuł: | |
tasiorek pisze: Regula blokujaca musi znalezc sie przed regula przepuszczajaca pakiety juz nawiazanych polaczen. Inaczej mowiac zamien -A na -I w regulach blokujacych p2p.
Nie w tym problem. Problem lezy w istniejacych polaczeniach. Jedynym rozwiazaniem byl skrypt Zciecha. |
|
| Autor: | tasiorek [ wtorek, 25 lipca 2006, 01:51 ] |
| Tytuł: | |
Jesli tylko ipp2p wykryje, ze wczesniej nawiazane polaczenia sa polaczeniami p2p, to zostania zablokowane. Jesli nie, to problem nie lezy w nawiazanych polaczeniach, tylko w sposobie wykrywania p2p. Chyba gdzies czytalem, ze ipp2p wykrywa tylko poczatkowe ramki i stad pomysl dodania connmarka zamiast marka, ale wtedy problem nie lezy w nawiazanych polaczeniach, tylko w sposobie wykrywania p2p i rozwiazaniem na to jest wlasnie zastosowanie connmarka i blokowanie pakietow wedlug niego. Pewnosci co do ostatniego zdania nie mam, wiec nie gewarantuje, ze to pomoze, a skrypt clr_conns nie pomaga w przypadku strumieni UDP i "durnych" polaczen TCP. |
|
| Autor: | mazol [ wtorek, 25 lipca 2006, 13:34 ] |
| Tytuł: | |
no czyli dalej problem juz nawiazanych polaczen zostaje nie rozwiazany? A jesli by jakos wyciac wszystkie polaczenia w danej chwili? |
|
| Autor: | tasiorek [ wtorek, 25 lipca 2006, 13:45 ] |
| Tytuł: | |
Przeczytales moja odpowiedz? Najpierw zamien -A na -I, jak to nie pomoze, to znakuj polaczenie p2p przez ipp2p i connmarka i czasowa blokade p2p zakladaj na podstawie markow przydzielonych przez connamrka a nie ipp2p. |
|
| Autor: | mazol [ wtorek, 25 lipca 2006, 15:40 ] |
| Tytuł: | |
zmienilem -A na -I ale nie dalo to zamierzonego efektu... A co do tego znakowania to w jaki sposob to zrobic? moja wiedza nie siega az tak daleko... |
|
| Autor: | tasiorek [ wtorek, 25 lipca 2006, 16:19 ] |
| Tytuł: | |
http://ipp2p.org/docu_en.html (przyklad drugi) Gdzies juz na tym forum widzialem zastosowanie tego przy podziale lacza. |
|
| Autor: | mazol [ wtorek, 25 lipca 2006, 17:54 ] |
| Tytuł: | |
no teraz pytanie jak to zastosowac?jakis skrypt stworzyc z tymi regulkami czy cus? Czy skrypt imq+nice nie dziala wlasnie w ten sposob? |
|
| Autor: | litr [ środa, 26 lipca 2006, 21:59 ] |
| Tytuł: | |
mazol pisze: no czyli dalej problem juz nawiazanych polaczen zostaje nie rozwiazany?
A jesli by jakos wyciac wszystkie polaczenia w danej chwili? czesc, kiedys walczylem z nawiazanymi polaczeniami pare dobrych dni. Jedynym skutecznym rozwiazaniem dot. walki z nawiazanymi polaczeniami byl restart serwera np. minute po zalaczeniu regulek ipp2p. Ktos takze proponowal mi zamiast restartu przeladowanie odpowiedniego modulu. W tej chwili stosuje layer7 + ipp2p i moge stwierdzic, ze takie rozwiazanie mnie satysfakcjonuje. Wrescie mam kontrone nad p2p. |
|
| Autor: | mazol [ środa, 26 lipca 2006, 22:07 ] |
| Tytuł: | |
no to jesli mozesz podziel sie co jak i skad... jak chcesz to na gg napisze Restart serwera oczywiscie nie wchodzi w gre... |
|
| Autor: | litr [ czwartek, 27 lipca 2006, 00:16 ] |
| Tytuł: | |
mazol pisze: no to jesli mozesz podziel sie co jak i skad... jak chcesz to na gg napisze
Restart serwera oczywiscie nie wchodzi w gre... Jesli nie masz czasu, aby sie bawic proponuje: http://allegro.pl/item117478640_panel_p ... linux.html Kernel 2.4.33 Iptables 1.3.5 Iproute2 HTB HFSC SFQ ESFQ IMQ IPP2P LAYER7 lub http://www.intrux.pl/produkt_info.php?p ... cfe455099d Linux Kernel 2.4.32 + hfsc, htb, imq, wrr, sfq, esfq, ipt_account, grsecurity, layer7, ipp2p, iptables-p2p, patch-o-matic... |
|
| Autor: | -MW- [ czwartek, 27 lipca 2006, 01:04 ] |
| Tytuł: | |
zablokuj udp temu ip |
|
| Autor: | mazol [ czwartek, 27 lipca 2006, 17:12 ] |
| Tytuł: | |
W tym problem ze nie chce nic blokowac na stale... wkoncu internet jest do wszystkiego... Czas zeby sie bawic mam ale nie moge sobie pozwolic na samodzielne testy z rozsypanych po forum postach, jesli ktos to ma poskladane do kupy to bylo by fajnie, mozna by sie pobawic czyms nowym. Litr podaj gg jesli mozesz |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|