Freesco, NND, CDN, EOS

a ten z watku nie pomaga? u mnie i u kolegi z sieci jak reka odjal

_________________

Lubię robić to co lubię :]

az musze to sprawdzic

Mowisz o tym:



???

_________________
pozd.,
Litr

no tak

_________________

Lubię robić to co lubię :]

Jezeli ktos korzysta z Niceshapera 0.5 to wystarczy ustawic sposob obslugi pasma na mark (method mark) i problem wyrywania sie ruchu generowanego przez Ares'a z pasma przyznanego danemu userowi jest rozwiazany.

_________________
pozd.,
Litr

ale nie po udp tego nice nie lubi !

ja mam htb z grupami i jedyny ból to taki ze downloadu nie przycina do pasma p2p tylko idzie ile przydziele klientowi ale uploud tnie idealnie

_________________

Lubię robić to co lubię :]

Ares to cwaniak działający na porcie 0 !!, dlatego omija wszystkie regułki iptables.

Wystarczy zablokować całkowicie owy port.

Obawiam się,że to nic nie da.

Nie jest udowodnione, ze takie dlugie pakiety oszukuja htb, byc może powodują tylko błędne wskazanie liczników

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

sprawdź, będziesz widział.., nie czytalem calosci posta bo mi się nie chcialo , na wredote aresa jedyny sposob to ten port (ares biega i tak wszędzie jak bearshare), nie ma innych możliwosci, a na wszystko zawsze jakiś sposób musi się znaleźć.

Witam, dłuuuugo mnie tu nie było...
Zaciekawił mnie bieżący post, dotyczy znanego mi problemu

Mój sposób na ARES-a (to jest naprawdę wredota do potęgi):

iptables -I FORWARD -p tcp --dport 0 -j DROP
iptables -I FORWARD -p udp --dport 0 -j DROP
iptables -I FORWARD -p tcp -m length --length 1501:65535 -j REJECT
iptables -I FORWARD -p udp -m length --length 1501:65535 -j REJECT

Opcje REJECT na początek, żeby wyłapać gosci - jak ktoś chce łapać.
Docelowo polecam bardziej DROP, nie zaśmieca tak np. iptrafa

Jeśli ktoś jest baaardzo uparty....

iptables -I FORWARD -p udp -s xx.xx.xx.xx --dport ! 53 -j DROP
iptables -I FORWARD -p udp -d xx.xx.xx.xx --sport ! 53 -j DROP

Wtedy po UDP ma uparciuch dostęp TYLKO do DNS-sów.

Naprawdę działa.

Aby wykryć jaka końcówka mimo blokad używa tego badziewia polecam szukać ramek z portem docelowym 0 lub adresem docelowym 1.0.0.0:0 na UDP - znów się kłania iptraf.

Efekty działania Ares-a u mnie w sieci na węzłach:
- karty 3-Com WLAN dostawały szału - w logach same błędy
- karty na Atheros-ach zawieszały się non-stop
- węzły na StarOS-ach dostawały bzika po nawet 3 minutach od restartu systemu.
- serwery wykazywały obciążenia ponad normę mimo że na łączu była jedna końcówka.

Moja polityka w tym względzie - program został zaliczony do kategorii "Oprogramowanie utrudniające lub zakłócające pracę sieci".
Pierw rozmowa z klientem, jeśli rozumie to OK, jeśli nie - rozwiązanie świadczenia usługi z winy abonenta. Stosowny zapis od samego początku znajduje się w Regulaminie Pracy Sieci.

Pozdrawiam i życzę powodzenia w walce z tego typu "rodzynkami"

Greyworm - admin-at-greyworm.net

skad ja to znam -

ale jest tez inny sposob.
waska rurka.

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Zawsze można wziąć gruszki bergamutki...

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz