| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| p2p imq niceshaper i jeszcze cos :) http://forum.freesco.pl/viewtopic.php?f=24&t=11100 |
Strona 1 z 4 |
| Autor: | -MW- [ niedziela, 5 lutego 2006, 14:00 ] |
| Tytuł: | p2p imq niceshaper i jeszcze cos :) |
:) |
|
| Autor: | -MW- [ niedziela, 5 lutego 2006, 19:31 ] |
| Tytuł: | |
|
|
|
| Autor: | tasiorek [ niedziela, 5 lutego 2006, 19:42 ] |
| Tytuł: | |
-MW- pisze: postarac sie o nowy kernel z obsluga esfq
Skoro kernel, to tez nowsze iproute. http://devel-nnd.brb.pl/nnd/pakiety.tes ... pkg.tar.gz z repo testowego, ale u mnie sprawuje sie bez zarzutu juz kilka miesiecy, wiec mozna smialo instalowac. |
|
| Autor: | -MW- [ poniedziałek, 6 lutego 2006, 01:53 ] |
| Tytuł: | |
aby jeszcze bardziej zapanowac nad p2p mozna urzyc skryptu ktory: - blokuje p2p pojedynczemu uzytkownikowi - blokuje p2p pojedynczemu uzytkownikowi w godzinach ... - blokuje p2p calej sieci w godzinach ... - obcina ruch udp pojedynczemu uzytkownikowi - blokuje port 25 zawiusowanym kompom - ogranicza ilosc polaczen tcp od p2p pojedynczego uzytkownika - ogranicza ilosc polaczen tcp #!/bin/sh ######################################################################################################## # ----- tworzy lancuch iptables -N blokady #----- odowolanie do lancucha iptables -I FORWARD -j blokady ######################################################################################################## # Blokada calkowita uzytkownika (dla wyjatkowo namolnych) # -- Nazwisko -- iptables -A blokady -m ipp2p --ipp2p -s 192.168.4.4 -j DROP ######################################################################################################## # Blokada czasowa uzytkownikow # -- Nazwisko-- iptables -A blokady -s 192.168.4.9 -m time --timestart 04:00 --timestop 04:30 -m ipp2p --ipp2p -j DROP ######################################################################################################## # Blokada czasowa calej sieci iptables -A blokady -m time --timestart 17:00 --timestop 21:00 -m ipp2p --ipp2p -j DROP ######################################################################################################## # -- Blokada polaczen UDP---- # -- Nazwisko-- iptables -A blokady -s 192.168.4.3 -p udp -j DROP iptables -A blokady -d 192.168.4.3 -p udp -j DROP ######################################################################################################## # Blokada zawirusowanych portow # -- Nazwisko-- iptables -A blokady -p tcp -s 192.168.4.4 --dport 25 -j DROP ######################################################################################################## # Indywidualny limit polaczen p2p iptables -A blokady -p tcp -m ipp2p --ipp2p -m connlimit --connlimit-above 30 -j DROP # Indywidualny limit polaczen tcp iptables -A blokady -p tcp -m connlimit --connlimit-above 55 -j DROP #------------------------------- KONIEC ---------------------------------------------------------------- a wszystko mozna wylaczyc robiac skrypt #!/bin/sh #---kasuje odwolania iptables -D FORWARD -j blokady #---czysci bałwan jestem iptables -F blokady #---kasuje lancuch iptables -X blokady milej zabawy :) |
|
| Autor: | rokefeler [ poniedziałek, 6 lutego 2006, 12:34 ] |
| Tytuł: | |
ta blokada udp ze skryptu powyżej wycina całe połączenie łącznie z tcp !!Czy to nie krzaczy sie z innymi bałwan jestem?Dodam że mam firewall Czerwo najnowszy ,oraz kolejkowanie imq i takie tam.. ponieważ w manualu ipp2p jest to rozpisane troszkę inaczej a po forum krąży conajmniej kilka wersji różniących sie miedzy sobą mam pytanie czy to markowanie powyżej dotyczy również p2p na udp?: # markowanie okreslonych pakietow $i -t mangle -I PREROUTING -m mark --mark 0x999 -j CONNMARK --save-mark $i -t mangle -I PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 0x999 $i -t mangle -I PREROUTING -m mark ! --mark 0 -j ACCEPT $i -t mangle -I PREROUTING -j CONNMARK --restore-mark |
|
| Autor: | mazol [ poniedziałek, 6 lutego 2006, 19:35 ] |
| Tytuł: | |
MW napisz do mnie na GG 3941850 i zerknij na te skrypty bo ja juz sily nie mam... |
|
| Autor: | -MW- [ wtorek, 7 lutego 2006, 00:11 ] |
| Tytuł: | |
Cytuj: ta blokada udp ze skryptu powyżej wycina całe połączenie łącznie z tcp !! jesli o tym mowisz to sie mylisz! Cytuj: # -- Nazwisko-- iptables -A blokady -s 192.168.4.3 -p udp -j DROP iptables -A blokady -d 192.168.4.3 -p udp -j DROP pewnie po zastosowaniu tego nie miales netu ? Cytuj: ponieważ w manualu ipp2p jest to rozpisane troszkę inaczej a po forum krąży conajmniej kilka wersji różniących sie miedzy sobą mam pytanie czy to markowanie powyżej dotyczy również p2p na udp?:
# markowanie okreslonych pakietow $i -t mangle -I PREROUTING -m mark --mark 0x999 -j CONNMARK --save-mark $i -t mangle -I PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 0x999 $i -t mangle -I PREROUTING -m mark ! --mark 0 -j ACCEPT $i -t mangle -I PREROUTING -j CONNMARK --restore-mark na stronie http://www.ipp2p.org/ podaja przyklad dla tcp i cos tam pisza aby podobnie uczynic dla udp, (anglista nie jestem ) wiec jest zrobione i dla polaczen udp, najpierw pewnie kazdy program p2p nawiazuje polaczenia przez tcp a jesli to jest jeden z tych co ipp2p nie wylapuje go na udp to po przejsciu na udp szaleje, a po ucieciu wszystkiego nie ma szans nawiazac polaczenie i sciagnac zadnych danych - tak to kombinuje. ps. szkoda ze ja tu nie mam przycisku pomogl 
|
|
| Autor: | rokefeler [ wtorek, 7 lutego 2006, 02:33 ] |
| Tytuł: | |
wprowadziłem to dla kilku klientów: Cytat: # -- Nazwisko-- iptables -A blokady -s 192.168.4.3 -p udp -j DROP iptables -A blokady -d 192.168.4.3 -p udp -j DROP i rano mnie obudziły telefony że nie ma netu (www tez):-( czy stronki nie powinny chodzić normalnie po zamknięciu udp? Napisz proszę jasno (tak lub nie) bo z wykładu nic nie pojąłem czy fragment markowania z Twojego skryptu który zacytowałem markuje też ruch udp p2p i wrzuca go do imq czy trzeba zrobić według manuala ipp2p? |
|
| Autor: | tasiorek [ wtorek, 7 lutego 2006, 02:36 ] |
| Tytuł: | |
Po zablokowaniu udp nie dzialaja dnsy, wiec stronki tez nie beda dzialaly (chyba, ze masz wlasny serwer dns). iptables -A blokady -s 192.168.4.3 -p udp --dport ! 53 -j DROP iptables -A blokady -d 192.168.4.3 -p udp --dport ! 53 -j DROP powinno pomoc. |
|
| Autor: | rokefeler [ wtorek, 7 lutego 2006, 02:41 ] |
| Tytuł: | |
a to teraz sie zgadza :-) dzięki! całe życie człowiek sie czegoś uczy |
|
| Autor: | hx [ wtorek, 7 lutego 2006, 10:45 ] |
| Tytuł: | |
Cytuj: # Indywidualny limit polaczen p2p
iptables -A blokady -p tcp -m ipp2p --ipp2p -m connlimit --connlimit-above 30 -j DROP # Indywidualny limit polaczen tcp iptables -A blokady -p tcp -m connlimit --connlimit-above 55 -j DROP a jak bedzie wyglądać dla konkretnego IP ? |
|
| Autor: | rokefeler [ wtorek, 7 lutego 2006, 19:29 ] |
| Tytuł: | |
tasiorek pisze: Po zablokowaniu udp nie dzialaja dnsy, wiec stronki tez nie beda dzialaly (chyba, ze masz wlasny serwer dns).
iptables -A blokady -s 192.168.4.3 -p udp --dport ! 53 -j DROP iptables -A blokady -d 192.168.4.3 -p udp --dport ! 53 -j DROP powinno pomoc. niestety nie pomaga :-( net wygasa ale chyba faktycznie jest to jakiś problem z dnsami.Inne sugestie? MW nie odpowiedziałeś czy kolejkowanie z tego postu markuje udp .Napisz dlaczego porzuciłeś skrypt z tej strony :http://forum.freesco.pl/viewtopic.php?t=10807&highlight=imq5 czy to sie nie sprawdziło?Pisałeś że działa swietnie. |
|
| Autor: | -MW- [ wtorek, 7 lutego 2006, 23:24 ] |
| Tytuł: | |
Cytuj: iptables -A blokady -s 192.168.4.3 -p udp -j DROP
iptables -A blokady -d 192.168.4.3 -p udp -j DROP pisalem juz wczesniej gdzies ze po wycieciu calego forwardu udp klient nie bedzie mial netu jak nie bedzie uzywal naszego dns-a zaleta i wada kazdy wykozysta na swoj sposob - u mnie zaleta.
wyciecie wszystkich portow udp !53 oprocz 53 tez nic nie zmienia, kiedys sie bawilem i dalem spokuj, zeby nie kaleczyc sieci mozna wyciac ruch powyzej portu 1024 i to jest chyba wyjscie ale tego nie testowalem. co do markowania to przeciez jest to dokladnie to samo co na stronie ktora podales ( juz nie ma tam skryptu) tylko zapisane inaczej, a bylo tam jeszcze wstawione rozdzielenie ruchu udp i tcp, kierowane na imq4 i imq5, ktore nie mialo sesu. skrypcik w takiej postaci sprawuje sie najlepiej, ale nie jest 100% zabezpieczeniem. takie sa moje spostrzezenia. iptables -A blokady -d 192.168.0.2 -p tcp -m ipp2p --ipp2p -m connlimit --connlimit-above 30 -j DROP iptables -A blokady -s 192.168.0.2 -p tcp -m ipp2p --ipp2p -m connlimit --connlimit-above 30 -j DROP |
|
| Autor: | rokefeler [ środa, 8 lutego 2006, 00:09 ] |
| Tytuł: | |
odniosłem wrażenie że skrypt napisany z imq 4 i 5 ciął drastyczniej ale z kolei przez to zamieszanie kolejkowaniem udp nie rysował wykresów mrtg dla tych kolejek.Skrypt ten tutaj tnie z lekkim przymrużeniem oka przynajmniej u mnie.a jakie 100% zabezpieczenie polecasz?Cały problem z tym uploadem p2p -gdyby dało sie rozdzielić pakiety kontrolne p2p żeby download pracował prawidłowo a całą reszte drop było by idealnie.2jarek podjął taką próbę w moim poście o takim samym tytule ale zostaje jeszcze około 10kB uploadu nieobciętego.Czy ktoś potrafi jeszcze coś z tego wycisnąć?:-) |
|
| Autor: | -MW- [ środa, 8 lutego 2006, 01:54 ] |
| Tytuł: | |
ipp2p jest tylko dodatkiem ktory mozna wykozystac na wiele sposobuw czy w bałwan jestem podasz rodzaj pakietow -p tcp czu -p udp czy nie podasz wcale to zalezy od ciebie - ja nie zauwazylem roznicy. expertem nie jestem - z linuxem do czynienia nie mialem, dotknolem sie najpierw freesco a potem nnd bo spodobal mi sie opis. chlopaki odwalili kawal dobrej roboty, i chyle czola. |
|
| Autor: | puchatek007 [ środa, 8 lutego 2006, 01:58 ] |
| Tytuł: | |
A jak myśłicie czy jest różnica w działaniu między: $i -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 0x999 i $i -t mangle -A PREROUTING -p tcp -m ipp2p --dc --bit --edk --kazaa --gnu -j MARK --set-mark 0x999 ?? |
|
| Autor: | -MW- [ środa, 8 lutego 2006, 01:59 ] |
| Tytuł: | |
wydaje mi sie ze nie ma zadnej, tez to sprawdzalem. prubowalem markowac pakiety w innych lancuchach wedlug rozpiski jak przechodza pakiety przez router, kierowac na imq z innych miejsc, ale po takich testach wrocilem do skryptu napisanego kilka miesiecy temu  okazalo sie dziala mi najlepiej.
mozna obcinanie p2p zrobic inaczej, korzystajac jedynie z nice, opisy sa na forum, ale mnie to sie nie podoba poniewaz nie wiem czy puszczenie, uprzywilejowanych portow przez nice nie wprowadza zamieszania w pstaci niesprawiedliwego podzialu, nie wiem czy dzila na portach interaktywnych sfq czy cos innego. a narazie bawic mi sie nie chce. |
|
| Autor: | -MW- [ środa, 8 lutego 2006, 02:13 ] |
| Tytuł: | |
Cytuj: a jakie 100% zabezpieczenie polecasz?
nie pic piwa i nie gapic sie w ekran tylko czuwac nad siecia, nad kazdym klientem indywidualnie a bedzie ok
troche pracy to kosztuje ale oplaca sie. |
|
| Autor: | hx [ środa, 8 lutego 2006, 13:59 ] |
| Tytuł: | |
-MW- pisze: Cytuj: iptables -A blokady -d 192.168.0.2 -p tcp -m ipp2p --ipp2p -m connlimit --connlimit-above 30 -j DROP iptables -A blokady -s 192.168.0.2 -p tcp -m ipp2p --ipp2p -m connlimit --connlimit-above 30 -j DROP no nareszcie kontroluje tego usera co ssał jak głupi jeszcze potrzebuje wpisu do blokady p2p w godzinach dla konkretnrgo ip |
|
| Autor: | -MW- [ środa, 8 lutego 2006, 16:52 ] |
| Tytuł: | |
no to sie ciesze. nie zapomnij nacisnac "pomogl"
a co do czaseowej blokady to: iptables -A blokady -s 192.168.4.9 -m time --timestart 04:00 --timestop 04:30 -m ipp2p --ipp2p -j DROP iptables -A blokady -d 192.168.4.9 -m time --timestart 04:00 --timestop 04:30 -m ipp2p --ipp2p -j DROP i tak tez mozna - i nie spodziewaj sie ze p2p umrze od razu, jakis czas jeszcze pociagnie dane. |
|
| Strona 1 z 4 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|