Freesco, NND, CDN, EOS

Natknąłem sie na pewenego rodzaju minę, ktora rozwala cały misterny plan kształtowania ruchu. jakis program wysyla bardzo duze pakiety udp ponad 8000kbit, ktore przechodza przez siec i wchodza/wychodza do/z serwera jako fragmenty:


Ale podczas fowardingui natu sa one skladane w calosc i to powoduje, ze wszystkie liczniki (na interfejsach sieciowych eth i imq oraz w lancuchach iptables ) wariuja i albo nie pokazuja wlasciwie, albo program omija kontrole htb:
z tc-vewer

rate 9k, ceil 65k, a pokazuje ze przesyla 156k




doraźnie zabralem kernelowi pamiec na skladanie fragmentow
nie doszukalem sie funkcji wylaczania skladania pakietow.
jest opcja iptables -f wybierajaca fragmenty, ale ona nie dziala bo przed wejciem do iptables pakiet skladany jest w calosc.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

To pochwal się jak to zrobić (na wszelki wypadek )
A tak w ogóle to cwaniak z tego programu ...

_________________
F33/F07,F11,F13,F17

Nie wydaje mi sie to zbyt dobrym pomyslem, bo z tego co sie orientuje, to pociachany pakiet w przypadku natowania musi byc zlozony, zeby router wiedzial dokad ma dotrzec, bo tylko pierwsza czesc pakietu zawiera naglowek
( http://www.hasenstein.com/linux-ip-nat/ ... node4.html ).
W przypadku TCP wystarczy wlaczyc negocjacje MSS i po problemie. W UDP moze poprostu dropowanie wiekszych pakietow da do zrozumienia temu durnemu programowi, ze ma wysylac mniejsze paczki.
BTW: Kto ustawia MTU na 8000?

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Pisałem o tym

No to nie dotrze aż sie nauczy zeby byl taki jak należy.


Oczekuję KONKRETNYCH propozycji



Nikt to program wysyla takie dluuuuuuuuuuuuuuuugie pakiety.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Niech zgadne. Ares?? Taki bardzo wredny program p2p.

Cos w tym jest ares dziwacznie sie zachowywal z moim stiuningowanym niceshaperem nie moglem wylapac jego uploadu nie wpadlem na to ze moze isc pakietami wiekszymi niz 1500 bajtow

_________________
http://jnet.republika.pl/ TANI INTERNET KOSZALIN

to załatwi sprawę?

_________________
Rzeczy niemożliwe wykonuje od ręki, na cuda potrzebuje więcej czasu.

chyba że pakiet przekroczy długość 20000 :] sądzę że można to rozszerzyć do 65535

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

a co z tymi pomiedzy 1500 a 2000 ?

sam też używam aresa w mojej sieci i jest tak jak mówił

tez mam serwer na NND u siebie i sie zgadza.
JEdnak po wykonaniu
Ares przestaje ściagać pliki ale ruch pakietów wciąż jest tyle tylko ze mają one inny rozmiar z 1500 zeskoczyły u mnie do 57bytów czasami 40.

Zauważyłem jednak jedno. Że ares za każdym razem przy przyłączeniu się do sieci łączy się z tym samym adresem MAC. Nigdy z żadnym innym. tak przynajmniej jest u mnie.

Myślałem więc o jakiejś regułce w iptables która blokowała by ruch od jakiegoś użytkownika w sieci do tego adresu MAC.

Z reszta podaje ten adres mac : 00:10: 4B:33:8A:79

jak ktoś wie jak utworzyć taką regułkę to dajcie na forum. Też skorzystam

A czy przypadkiem nie jest to mac karty kompa z aresem??

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

napaliłem się za szybko i nie pomyślałem

to karta mac mojego serwerka

aż mi głupio
no cóż pomyłki się zdarzają

nie wiem jak zablokować tego aresa;/
chociaż będę próbował

albo sieciówki na serwie

Ja zablokowałem porty UDP wszytskie opróćz portu 53.
Kiepskie rozwiązanie ale skuteczne, na inne niewpadłem jeszcze jak i Wy .

To jest WOJNA

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

hmm ciężka sprawa

Powiem szczerze że ares to nawet niezły program p2p. Jeśli ktoś jest za firewallem i nie ma możliwości przekierować portów. To ten program jest rozwiązaniem.

Fakt, że jako administrator sieci swojej, zablokował to kurczerstwo to trudno. Można też zrobić tak.

Na początku ładnie konkretnego użytkownika poprosić aby nie korzystał z tego programu p2p. A następnie jeśli nie zgodzi się na to, po prostu go odciąć od neta.

Zastanawiam się tylko jakie argumenty takiego członka naszej sieci powinny przekonać aby nas posłuchał ;]

ale my mamy atomówkę (iptables -p udp -j DROP )

Ja mam wodorową - szczypce z bocznym cięciem.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Yessssssssssss

_________________
F33/F07,F11,F13,F17

Ma ktos z Was sprawdzony sposob na Ares'a?

_________________
pozd.,
Litr