Freesco, NND, CDN, EOS

:)

Skoro kernel, to tez nowsze iproute. http://devel-nnd.brb.pl/nnd/pakiety.tes ... pkg.tar.gz z repo testowego, ale u mnie sprawuje sie bez zarzutu juz kilka miesiecy, wiec mozna smialo instalowac.

aby jeszcze bardziej zapanowac nad p2p mozna urzyc skryptu ktory:

- blokuje p2p pojedynczemu uzytkownikowi
- blokuje p2p pojedynczemu uzytkownikowi w godzinach ...
- blokuje p2p calej sieci w godzinach ...
- obcina ruch udp pojedynczemu uzytkownikowi
- blokuje port 25 zawiusowanym kompom
- ogranicza ilosc polaczen tcp od p2p pojedynczego uzytkownika
- ogranicza ilosc polaczen tcp




#!/bin/sh

########################################################################################################
# ----- tworzy lancuch
iptables -N blokady

#----- odowolanie do lancucha
iptables -I FORWARD -j blokady

########################################################################################################
# Blokada calkowita uzytkownika (dla wyjatkowo namolnych)

# -- Nazwisko --
iptables -A blokady -m ipp2p --ipp2p -s 192.168.4.4 -j DROP

########################################################################################################
# Blokada czasowa uzytkownikow
# -- Nazwisko--
iptables -A blokady -s 192.168.4.9 -m time --timestart 04:00 --timestop 04:30 -m ipp2p --ipp2p -j DROP

########################################################################################################
# Blokada czasowa calej sieci
iptables -A blokady -m time --timestart 17:00 --timestop 21:00 -m ipp2p --ipp2p -j DROP

########################################################################################################
# -- Blokada polaczen UDP----

# -- Nazwisko--
iptables -A blokady -s 192.168.4.3 -p udp -j DROP
iptables -A blokady -d 192.168.4.3 -p udp -j DROP

########################################################################################################
# Blokada zawirusowanych portow

# -- Nazwisko--
iptables -A blokady -p tcp -s 192.168.4.4 --dport 25 -j DROP

########################################################################################################
# Indywidualny limit polaczen p2p
iptables -A blokady -p tcp -m ipp2p --ipp2p -m connlimit --connlimit-above 30 -j DROP

# Indywidualny limit polaczen tcp
iptables -A blokady -p tcp -m connlimit --connlimit-above 55 -j DROP

#------------------------------- KONIEC ----------------------------------------------------------------


a wszystko mozna wylaczyc robiac skrypt



#!/bin/sh

#---kasuje odwolania
iptables -D FORWARD -j blokady

#---czysci bałwan jestem
iptables -F blokady

#---kasuje lancuch
iptables -X blokady


milej zabawy :)

ta blokada udp ze skryptu powyżej wycina całe połączenie łącznie z tcp !!Czy to nie krzaczy sie z innymi bałwan jestem?Dodam że mam firewall Czerwo najnowszy ,oraz kolejkowanie imq i takie tam..

ponieważ w manualu ipp2p jest to rozpisane troszkę inaczej a po forum krąży conajmniej kilka wersji różniących sie miedzy sobą mam pytanie czy to markowanie powyżej dotyczy również p2p na udp?:
# markowanie okreslonych pakietow
$i -t mangle -I PREROUTING -m mark --mark 0x999 -j CONNMARK --save-mark
$i -t mangle -I PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 0x999
$i -t mangle -I PREROUTING -m mark ! --mark 0 -j ACCEPT
$i -t mangle -I PREROUTING -j CONNMARK --restore-mark

MW napisz do mnie na GG 3941850 i zerknij na te skrypty bo ja juz sily nie mam...

jesli o tym mowisz to sie mylisz!

pewnie po zastosowaniu tego nie miales netu ?




na stronie http://www.ipp2p.org/ podaja przyklad dla tcp i cos tam pisza aby podobnie uczynic dla udp, (anglista nie jestem ) wiec jest zrobione i dla polaczen udp, najpierw pewnie kazdy program p2p nawiazuje polaczenia przez tcp a jesli to jest jeden z tych co ipp2p nie wylapuje go na udp to po przejsciu na udp szaleje, a po ucieciu wszystkiego nie ma szans nawiazac polaczenie i sciagnac zadnych danych - tak to kombinuje.
ps.
szkoda ze ja tu nie mam przycisku pomogl

wprowadziłem to dla kilku klientów:

Cytat:
# -- Nazwisko--
iptables -A blokady -s 192.168.4.3 -p udp -j DROP
iptables -A blokady -d 192.168.4.3 -p udp -j DROP

i rano mnie obudziły telefony że nie ma netu (www tez):-( czy stronki nie powinny chodzić normalnie po zamknięciu udp?

Napisz proszę jasno (tak lub nie) bo z wykładu nic nie pojąłem czy fragment markowania z Twojego skryptu który zacytowałem markuje też ruch udp p2p i wrzuca go do imq czy trzeba zrobić według manuala ipp2p?

Po zablokowaniu udp nie dzialaja dnsy, wiec stronki tez nie beda dzialaly (chyba, ze masz wlasny serwer dns).
iptables -A blokady -s 192.168.4.3 -p udp --dport ! 53 -j DROP
iptables -A blokady -d 192.168.4.3 -p udp --dport ! 53 -j DROP
powinno pomoc.

a to teraz sie zgadza :-) dzięki! całe życie człowiek sie czegoś uczy

a jak bedzie wyglądać dla konkretnego IP ?

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.

niestety nie pomaga :-( net wygasa ale chyba faktycznie jest to jakiś problem z dnsami.Inne sugestie?


MW nie odpowiedziałeś czy kolejkowanie z tego postu markuje udp .Napisz dlaczego porzuciłeś skrypt z tej strony :http://forum.freesco.pl/viewtopic.php?t=10807&highlight=imq5
czy to sie nie sprawdziło?Pisałeś że działa swietnie.

pisalem juz wczesniej gdzies ze po wycieciu calego forwardu udp klient nie bedzie mial netu jak nie bedzie uzywal naszego dns-a zaleta i wada kazdy wykozysta na swoj sposob - u mnie zaleta.

wyciecie wszystkich portow udp !53 oprocz 53 tez nic nie zmienia, kiedys sie bawilem i dalem spokuj,
zeby nie kaleczyc sieci mozna wyciac ruch powyzej portu 1024 i to jest chyba wyjscie ale tego nie testowalem.


co do markowania to przeciez jest to dokladnie to samo co na stronie ktora podales ( juz nie ma tam skryptu) tylko zapisane inaczej, a bylo tam jeszcze wstawione rozdzielenie ruchu udp i tcp, kierowane na imq4 i imq5, ktore nie mialo sesu.
skrypcik w takiej postaci sprawuje sie najlepiej, ale nie jest 100% zabezpieczeniem. takie sa moje spostrzezenia.


iptables -A blokady -d 192.168.0.2 -p tcp -m ipp2p --ipp2p -m connlimit --connlimit-above 30 -j DROP
iptables -A blokady -s 192.168.0.2 -p tcp -m ipp2p --ipp2p -m connlimit --connlimit-above 30 -j DROP

odniosłem wrażenie że skrypt napisany z imq 4 i 5 ciął drastyczniej ale z kolei przez to zamieszanie kolejkowaniem udp nie rysował wykresów mrtg dla tych kolejek.Skrypt ten tutaj tnie z lekkim przymrużeniem oka przynajmniej u mnie.a jakie 100% zabezpieczenie polecasz?Cały problem z tym uploadem p2p -gdyby dało sie rozdzielić pakiety kontrolne p2p żeby download pracował prawidłowo a całą reszte drop było by idealnie.2jarek podjął taką próbę w moim poście o takim samym tytule ale zostaje jeszcze około 10kB uploadu nieobciętego.Czy ktoś potrafi jeszcze coś z tego wycisnąć?:-)

ipp2p jest tylko dodatkiem ktory mozna wykozystac na wiele sposobuw
czy w bałwan jestem podasz rodzaj pakietow -p tcp czu -p udp czy nie podasz
wcale to zalezy od ciebie - ja nie zauwazylem roznicy.

expertem nie jestem - z linuxem do czynienia nie mialem,
dotknolem sie najpierw freesco a potem nnd bo spodobal mi sie opis.
chlopaki odwalili kawal dobrej roboty, i chyle czola.

A jak myśłicie czy jest różnica w działaniu między:

$i -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 0x999
i
$i -t mangle -A PREROUTING -p tcp -m ipp2p --dc --bit --edk --kazaa --gnu -j MARK --set-mark 0x999

??

wydaje mi sie ze nie ma zadnej, tez to sprawdzalem.

prubowalem markowac pakiety w innych lancuchach wedlug rozpiski
jak przechodza pakiety przez router, kierowac na imq z innych miejsc,
ale po takich testach wrocilem do skryptu napisanego kilka miesiecy temu okazalo sie dziala mi najlepiej.

mozna obcinanie p2p zrobic inaczej, korzystajac jedynie z nice, opisy sa na forum, ale mnie to sie nie podoba poniewaz nie wiem czy puszczenie,
uprzywilejowanych portow przez nice nie wprowadza zamieszania w pstaci
niesprawiedliwego podzialu, nie wiem czy dzila na portach interaktywnych
sfq czy cos innego.
a narazie bawic mi sie nie chce.

nie pic piwa i nie gapic sie w ekran tylko czuwac nad siecia,
nad kazdym klientem indywidualnie a bedzie ok
troche pracy to kosztuje ale oplaca sie.

no nareszcie kontroluje tego usera co ssał jak głupi


jeszcze potrzebuje wpisu do blokady p2p w godzinach dla konkretnrgo ip

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.

no to sie ciesze.

nie zapomnij nacisnac "pomogl"


a co do czaseowej blokady to:

iptables -A blokady -s 192.168.4.9 -m time --timestart 04:00 --timestop 04:30 -m ipp2p --ipp2p -j DROP

iptables -A blokady -d 192.168.4.9 -m time --timestart 04:00 --timestop 04:30 -m ipp2p --ipp2p -j DROP

i tak tez mozna - i nie spodziewaj sie ze p2p umrze od razu, jakis czas jeszcze pociagnie dane.