Cytuj:
Może ktoś walczył z czymś takim albo ma jakiś pomysł jak rozwiązać problem to proszę o jakieś rady za co z góry dziekuje
walczylem
i dalem sobie na wstrzymanie z nice
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Blokowanie internetu przez jednego użyszkodnika http://forum.freesco.pl/viewtopic.php?f=22&t=16188 |
Strona 1 z 1 |
| Autor: | brombal [ niedziela, 4 listopada 2007, 23:40 ] |
| Tytuł: | Blokowanie internetu przez jednego użyszkodnika |
Witam mam taki problem ze jeden z klientów blokuje mi wyjscie na swiat dla wszystkich . Od jakiegoś czasu gość używa jakiegoś programu który prawie całkowicie blokuje internet innym strony u innych klientów otwieraja sie po 15 min albo wcale , w tym czasie ping od klienta na serwer 0.3 ms ping na swiat prawie nie idzie .Jak patrze na staty nice to podejrzany host ciagnie 120kb a pozostali nic . połączenie jest 4Mb DSL max dla userow 120 kb wiec niby nice przycina tego matołka prawidłowo tylko jak on ciagnie to nikt inny juz nic nie moze zrobic .serwer skonfigurowany od 1,5roku dzialal do teraz ok każdy z klientów posiada jakis P2P i jak do tej pory działało to ok jak przesadził to tylko on nie miał stron . Nie wiem jak to ugryść zmniejszanie przydziału transferu jak i ilości połączeń nie pomaga . W czasie jak jest owa blokada od strony netu można śmiało wchodzić na serwer strona śmiga itp. czyli odpada blokowanie sie tepsowego modemu . Ewidentnie wyglada to tak jakby gość ustanowił jakiś tunel i zabrał całe pasmo dla siebie . Może ktoś walczył z czymś takim albo ma jakiś pomysł jak rozwiązać problem to proszę o jakieś rady za co z góry dziekuje . Pozdrawiam Jurek |
|
| Autor: | Maciek [ niedziela, 4 listopada 2007, 23:57 ] |
| Tytuł: | |
Czy łącze to ta neostrada, z której piszesz? To sporo może wyjaśniać, bo o ile mi wiadomo, to: - neostrada ma upload 256 kbits (tylko w najwyższej opcji zdaje się jest 512), zatem stosounek down/up w najlepszym razie wynosi 4/1 w opcji jednomegowej. Przy dwumegowej jest to już 8/1. W takim układzie wykorzystanie łącza przez wielu ssaczy będzie zawsze problematyczne. Poza tym skąd wiesz, że jeden wysyca łącze, skoro nie wiesz jak. |
|
| Autor: | brombal [ poniedziałek, 5 listopada 2007, 00:43 ] |
| Tytuł: | |
Witam Nie maćku łącze to tak jak wyżej napisałem DSL .teraz nie jestem pewien ale jest to 4Mb /512Kb Pisałem ze jak do tej pory nie było problemu i wielu ssaczy dzialalo nadal . Poza tym raczej łącze nie jest wysycone na max poniewaz od strony netu jest kontakt z serwerem i to dobry . Skoro strona sie otwiera dziala FTP to napewno nie jest upload zatkany . A skąd wiem ze to u niego bo porozmawialem z ludzmi i pozatym statystyki mowia za siebie jesli jest ten pan załączony to nikt nic nie sciaga a jak pana niet to u pozostałych wszystko ok Wszystko to napisalem wczesniej ale może bezładnie i zrodzily sie twoje pytania |
|
| Autor: | zciech [ poniedziałek, 5 listopada 2007, 00:50 ] |
| Tytuł: | |
Uzyj MOCY. logi, iptraf, netstat-nat, statystyki jakies (mrtg). Byc moze tworzy tyle polaczen, że wyczerpuje tablice conntrack |
|
| Autor: | -MW- [ poniedziałek, 5 listopada 2007, 01:32 ] |
| Tytuł: | |
Cytuj: Może ktoś walczył z czymś takim albo ma jakiś pomysł jak rozwiązać problem to proszę o jakieś rady za co z góry dziekuje
walczylem i dalem sobie na wstrzymanie z nice
|
|
| Autor: | Maciek [ poniedziałek, 5 listopada 2007, 01:40 ] |
| Tytuł: | |
Dołączam się do tego, co zciech napisał. Sprawdź przede wszystkim, ile połączeń otwiera ów klient, służy do tego netstat-nat. Może należałoby mu zatem ilość połączeń ograniczyć, może po prostu ma jakieś wirusy, czy trojany. |
|
| Autor: | -MW- [ poniedziałek, 5 listopada 2007, 03:28 ] |
| Tytuł: | |
a ja stawiam na to ze nice nie lapie ruchu udp. |
|
| Autor: | realisty [ poniedziałek, 5 listopada 2007, 09:22 ] |
| Tytuł: | |
mi tez niceshaper06 nie trzymal udp z programow p2p uzyj interfejsow IMQ z viki |
|
| Autor: | brombal [ poniedziałek, 5 listopada 2007, 21:11 ] |
| Tytuł: | |
Maciek pisze: Dołączam się do tego, co zciech napisał. Sprawdź przede wszystkim, ile połączeń otwiera ów klient, służy do tego netstat-nat. Może należałoby mu zatem ilość połączeń ograniczyć, może po prostu ma jakieś wirusy, czy trojany.
Witam ilość połączeń teoretycznie wszyscy maja ustawione na 100 . właśnie staram sie podglądnąć pacjenta ale jak sie troche dymu zrobiło to klient siedzi grzecznie i wszystkim działa ok a u niego taki transfer ze chyba tylko gg odpalone |
|
| Autor: | brombal [ poniedziałek, 12 listopada 2007, 13:05 ] |
| Tytuł: | |
witam problem znów zaistniał znaczy j23 znów nadaje . otwarta bardzo duża ilość połączeń tcp i udp zapchane łącze nikt nic nie moze uruchomić prócz tego bałwana . Co jest ciekawe nice wogóle nie trzyma transferu dla tego gościa .Próbowałem NS 5 + IMQ jak rownież NS 6 jest bezradny u wszystkich innych klientów trzyma ustawiony limit transferu a u tego gościa ile nie ustawie pokazuje maxymalny transfer .Chce zainstalowac rhtb i tu moje pytanie czy trudno sie je konfiguruje .Ponieważ ten tydzień będę miał mocno napięty i brak dostępu do netu nie wiem czy brać się za to czy odpuścić do czasu jak bedzie chwilka na konfiguracje . mam jeszcze jedno pytanie jak zrobić przekierowanie na np port82 gdy transfer przekroczy jakaś wartość . myśle że takie działanie zmusi kretyna do ustawienia sobie p2p na nie agresywne dzialanie . a to da mi czas na pożądne skonfigurowanie rhtb . podrawiam Jurek |
|
| Autor: | zciech [ poniedziałek, 12 listopada 2007, 13:55 ] |
| Tytuł: | |
skontaktuj sie ze mna na GG 1515977 |
|
| Autor: | Osfald [ poniedziałek, 12 listopada 2007, 14:45 ] |
| Tytuł: | |
jesli chcesz skutecznie przyciac polaczenia TCP i strumienie UDP to uzyj tych, sprawdzonych wpisów firewalla wyprowadzonych przez kolegow z forum : # Zablokowanie nadmiernej ilości połączeń TCP iptables -A FORWARD -s 192.168.0.0/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 200 --connlimit-mask 32 -j DROP # Zablokowanie przyrostu strumieni UDP iptables -A FORWARD -p udp -s 192.168.0.0/24 -m state --state NEW -m limit --limit 5/s --limit-burst 10 -j ACCEPT iptables -A FORWARD -p udp -m state --state NEW -j DROP oczywiscie zmien odpowiednio dla swoich potrzeb: - podlegajace ograniczeniom adresy IP (czyli 192.168.0.0/24 na zakres adresow w Twojej sieci badz pojedyncze IP, ktore chcesz poddac ograniczeniom) - ilosc polaczen TCP na jednego usera (czyli --connlimit-above 200 wskazuje obecnie, ze max polaczen na jedno IP to sztuk 200) - limit strumieni na sek (czyli --limit 5/s wskazuje obecnie, ze mozna otworzyc max 5 strumieni UDP/sek) - wartosc progowa powyzej ktorej dziala regula ograniczajaca strumienie UDP/sek (czyli --limit-burst 10 wskazuje obecnie, ze regula ma zaczac dzialac powyzej 10 jednoczesnych strumieni UDP dla jednego IP) - zamykanie strumieni UDP (obecnie ostatnia regulka zamyka strumienie UDP dla WSZYSTKICH IP, ktore nie wpadly do regulki powyzej, czyli tej ograniczajacej strumienie na sek.. Rodzi to niebezpieczenstwo, ze jesli w regule ograniczajacej strumienie na sek. uzyles pojedynczego IP to nastepna regula w obecnej formie zamknie komunikacje po UDP dla calej reszty IPkow i masz klopot  Jesli uzyles pojedynczego IP to w regule DROPujacej takze uzyj tego pojedynczego IP przez uzycie opcji -s)
i umiesc to w odpowiednim miejscu w swoim firewall'u, tak aby te reguly nie kolidowaly z innymi (chodzi o kolejnosc wykonywania regul) - zaraz mi sie dostanie, ze podalem gotowe reguly bez podania dokladego miejsca ich dopisania ale przeciez kazdy ma chyba nieco inny zestaw regulek... i ostrzegam, ze zbyt rygorystyczne ustawienia odnosnie UDP groza klopotami ze strumieniami video, grami online czy dzialaniem Skypa... ograniczaj ale po ludzku 
pozdrawiam |
|
| Autor: | orion [ środa, 21 listopada 2007, 21:15 ] |
| Tytuł: | |
Osfald pisze: ...i ostrzegam, ze zbyt rygorystyczne ustawienia odnosnie UDP groza klopotami ze strumieniami video, grami online czy dzialaniem Skypa... ograniczaj ale po ludzku
Tu się nie zgodzę. Zablokowałem całkowicie udp oprócz połączeń na DNSy providera i Skype działa. Tylko przy pierwszym włączeniu dużo dłużej się loguje. Nie mam pojęcia jak zablokować ten szajs... w każdym bądź razie uciachanie ruchu UDP mu nie szkodzi. |
|
| Autor: | -MW- [ środa, 21 listopada 2007, 21:19 ] |
| Tytuł: | |
spruboj zagrac w jakas gre
nie lepiej blokowac wybiorczo dla danego ip? dlaczego za jednego ciepiec ma reszta? |
|
| Autor: | Osfald [ środa, 21 listopada 2007, 23:09 ] |
| Tytuł: | |
orion pisze: Tu się nie zgodzę. Zablokowałem całkowicie udp oprócz połączeń na DNSy providera i Skype działa. Tylko przy pierwszym włączeniu dużo dłużej się loguje. Nie mam pojęcia jak zablokować ten szajs... w każdym bądź razie uciachanie ruchu UDP mu nie szkodzi.
myslalem, ze sie nie zgadzasz z tym ograniczaniem "po ludzku"
hehe... ostatnio pisali (chyba w CHIPie) ze uzytkownicy Skype tworza najwieksza na swiecie siec uspionych boot'ow 
ten pociurlany program nie majac innego wyjscia na swiat bedzie sie laczyl przez 80tcp i inne dobrze znane porty... wlacz sobie Skypa i poobserwuj ruch jaki generuje to "narzedzie do komunikacji glosowej" W sieciach korporacyjnych admini realizujacy jakas tam polityke bezpieczenstwa maja z reguly nielada problem by udlawic ten komunikatoro podobny wyłom w tejze polityce 
kiedys wystarczylo przyblokowac UDP by ucichl ale widac program ewoluuje i byc moze niedlugo zgodnie z zapowiedziami producentow nie bedzie na niego firewall'a... a wtedy to juz tylko czekac na jakis kataklizm 
|
|
| Autor: | Maciek [ środa, 21 listopada 2007, 23:36 ] |
| Tytuł: | |
Osfald pisze: hehe... ostatnio pisali (chyba w CHIPie) ze uzytkownicy Skype tworza najwieksza na swiecie siec uspionych boot'ow
Coś w tym jest. Ostatnio sprawdzałem sobie netstatem, co się dzieje na moim stacjonarnym desktopie. I ze zdziwieniem patrzę, że mój komputer połączony jest na jakimś wysokim porcie z jakąś neostradą. Pracuję na laptopie, a na stacjonarnym to sobie tylko TV oglądałem. Jedyny program sieciowy to skype - na laptopie mi kiepsko chodzi więc odpalam go na stacjonarnym. Wyłączyłem skype i połączenie też znikło. Zatem faktycznie jakiś botnet się z tego skype robi.... |
|
| Autor: | orion [ czwartek, 22 listopada 2007, 17:06 ] |
| Tytuł: | |
Osfald pisze: ten pociurlany program nie majac innego wyjscia na swiat bedzie sie laczyl przez 80tcp i inne dobrze znane porty... wlacz sobie Skypa i poobserwuj ruch jaki generuje to "narzedzie do komunikacji glosowej"
W sieciach korporacyjnych admini realizujacy jakas tam polityke bezpieczenstwa maja z reguly nielada problem by udlawic ten komunikatoro podobny wyłom w tejze polityce Otóż ja jestem adminem sieci korporacyjnej i Skype to tzw. wrzód na du*pie. Polityka korzystania z internetu jest bardzo restrykcyjna i komunikatory nie są dozwolone... zablokowałem większość komunikatorów i interface'y webowe tychże, ale został jeden... 
A co ciekawe kilkanaście klientów Skype odpalonych w sieci, z których nikt aktualnie nie korzysta generuje ciągły spory ruch. Jak wytłumaczyć ten fenomen ?! |
|
| Autor: | pectosol [ czwartek, 22 listopada 2007, 23:28 ] |
| Tytuł: | |
wracając do tematu: Spróbuj przeinstalować niceshapera. Wiem że może wydać się to dziwne ale na jednym z moich serwerów miałem awaryjne wyłącznie routra wymuszone przez zakład energetyczny (brak prądu). Po takim włączniu wysypał sie niceshaper. Niby działał, staty coś pokazywały, i wskazywaly że jeden użyszkodnik zabiera pasmo itp. Tymczasem AP (mam sieci WiFi) wskazywał że hosta wcale nie ma w sieci. IP z nicestats wskazywały innyego hosta niz MACk z iptrafa. Pingi rosły w kosmos, internetu brak. Dopiero reinstalacja nice pomogła (używam czyste niceshaper 0.5) Prawdą były wskazania z iptrafa - to ten host blokował pasmo, zwykłym emulem - teraz jest wszytko ok. Spróbuj. |
|
| Autor: | zciech [ czwartek, 22 listopada 2007, 23:40 ] |
| Tytuł: | |
Cytuj: Polityka korzystania z internetu jest bardzo restrykcyjna i komunikatory nie są dozwolone...
W takim wypadku wystarczy wszcząć procedury wynikające z polityki. Masz Skypa? Pan Admin wyciąga wtyczka ze swicza i nie masz sieci. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|