Freesco, NND, CDN, EOS

Tak sobie dzisial probowalem kombinowac z wykrywaniem p2p, znakowaniem i przenoszeniem do innych klas w niceshaperze i w sumie zadne rozwiazanie nie jest dobre.

Moje przyklady filtrow:
1. ipp2p - nie dziala. Z calego ruchu wykrywa 10% p2p.
2. layer7 - nie moge spatchowac kernela. Nie mam ochoty kombinowac.
3. po portach - dziala dobrze (nawet bardzo dobrze), bo przepuszcza tylko ok. 20 portow (m. in. www, ftp, mail....), ale nie moge znalezc po jakim porcie chodzi skype. Reszta idzie do osobnej kolejki w nice.
4. po stringach - dziala srednio, ale dokladnie nie moge sprawdzic bo nie mam listy stringow programow p2p.


Macie jakies jeszcze propozycje?


PS. Ja oczywiscie walcze tylko z ruchem UP. Ruch DOWN kontroluje nice (bez podzialu na p2p i reszte) i wychodzi mu to bardzo dobrze.

_________________
GG

skype dziala na porcie 80 lub 443 jak nie moze na innym.

nic tylko blokowac


wiec jakie rozwiazanie kolega proponuje?
czekamy na propozycje

Dziwne, mam wrażenie, że u mnie będzie ok. 90%. W jaki sposób używasz ipp2p ?

Ipp2p + "selektywne" blokowanie portów.

_________________
F33/F07,F11,F13,F17

ipp2p + selektywne blokowanie udp i portow wirusow + waska rurka = bayer na 2xR6 + regulacja obrotow

A sa jakies sposoby? Uzywam go jako filtr w iptables

_________________
GG

Wklej regułki z ipp2p - zobaczymy.

_________________
F33/F07,F11,F13,F17

iptables .... -m ipp2p --ipp2p -j JAKAŚ AKCJA

_________________
GG

W ten sposób to rzeczywiście, też miałem 10%
Zajrzyj tu:
http://forum.freesco.pl/viewtopic.php?t=10066&highlight=

_________________
F33/F07,F11,F13,F17

Ale o ktory post Ci chodzi? Bo nie widze roznicy miedzy tym, co napisalem, a tym, co w wymienionym topicu.
Chyba, ze chodzi Ci o connmark, ale tego tez uzywalem.

Obecnie mam filtrowanie po portach i mi to pasi

_________________
GG

TUTAJ jest mój skrypt rchtb. Znajdź tam sekcję dotyczącą ruchu p2p i zobacz sobie, jak to jest u mnie rozwiązane.
Blokowanie po portach rzeczywiście jest najskuteczniejsze, tyle, że czasem ZBYT skuteczne - można niechcący zablokować gg czy Skype.

_________________
F33/F07,F11,F13,F17

viater, w zaden sposob to nie zalatwia problemu z p2p, ktorych ipp2p poprostu nie wykrywa (np. kademili, ktorej u mnie nawet sie nie dalo zablokowac).

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

U mnie akurat nikt nie używa Kademilii.
Tak czy owak dziwne, bo:
Nie wiem, co ci poradzić, oprócz tego co pisałem wcześniej: ipp2p plus blokowanie niektórych portów (sprawdzam snifferem - ethereal - na których portach idzie ruch poszczególnych p2p, chociaż niektóre są coraz sprytniejsze i ta metoda bywa też zawodna).

_________________
F33/F07,F11,F13,F17

U mnie userzy aktualizuja klientow p2p na biezaco i zawsze ktorys sie "wyrwie" z ipp2p, niestety.

_________________
GG

Na p2p najlepiej działa ogranicznie ilosci połaczen !!! u mnie to działa Przeciez sciagac im nie zabronie a ze maja mniej zrudeł sciagaj wolniej, czasami sa skoki ale srednio wychodzi wolniej, i nie mulą iloscia nawiazywanych połaczeń

_________________
Hej wszystkim

bez ograniczania ilosci polaczen, to jest tragedia

_________________
GG

Najlepiej dziala zakupienie dodatkowego lacza i przeznaczenie go na pozarcie przez p2p. Nie twierdze, ze jest to najtansze rozwiazanie, ale na pewno skuteczniejsze niz ograniczanie ilosc polaczen.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

ale najpierw trzeba rozdzilic ruch na prio i p2p

_________________
GG

Juz wklejalem na forum skrypt, ktory robi to u mnie w sieci od ok miesiaca i narazie sprawdza sie jak powinien.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Ja tam jestem przy moim filtrowaniu po portach i jest ok. Jedyny minus to skype, ale u mnie nikt go nie uzywa.

_________________
GG