The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Блокирование торрентов в проходящем трафике"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (OpenBSD PF / OpenBSD)
Изначальное сообщение [ Отслеживать ]

"Блокирование торрентов в проходящем трафике"  +/
Сообщение от thnx on 20-Июл-11, 12:39 
Доброго дня сообществу!
Возникла задача блокирования P2P-трафика, торрент-сессий.
В принципе ничего против них не имею, но когда пользователи
занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает
жутко тормозить - не дело :)
Дело осложняется, для меня, тем, что шлюз на OpenBSD 4.5, фильтр штатный - PF.
Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто не хочу
лишнего на ней.
Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой трафик?
В Linux есть расширения для iptables для просмотра типа трафика и действия с ними уже
на основании правил. В PF такого не нашёл.
Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.
Спасибо.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Блокирование торрентов в проходящем трафике"  +1 +/
Сообщение от Andrey Mitrofanov on 20-Июл-11, 14:07 
> Возникла задача блокирования P2P-трафика, торрент-сессий.
> В принципе ничего против них не имею, но когда пользователи
> занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает
> жутко тормозить - не дело :)

Казалось бы при чём тут p2p -- полосу и режь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от thnx on 20-Июл-11, 14:33 
>> Возникла задача блокирования P2P-трафика, торрент-сессий.
>> В принципе ничего против них не имею, но когда пользователи
>> занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает
>> жутко тормозить - не дело :)
> Казалось бы при чём тут p2p -- полосу и режь.

Вопрос был не в ограничении, а блокировании.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Andrey Mitrofanov on 20-Июл-11, 14:56 
> Вопрос был не в ограничении, а блокировании.

Вот тут http://www.linux.opennet.ru/opennews/art.shtml?num=23341#5 человек написал такое... Спроси его, куда выложил, если по google:openbsd block torrent не найдётся.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от mef_ on 20-Июл-11, 15:51 
Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу будет не интересно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от thnx on 21-Июл-11, 12:30 
> Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши
> правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу
> будет не интересно.

Если бы в этом была необходимость, то нарезал бы, не вопрос..
Но нельзя и любой клиент запросто проверит свою скорость на спидтесте и других подобных ресурсах. Формально даже торренты не запрещены, но когда канал начинает забиваться от количества загрузок, то даже с фактами налицо ничего нельзя сделать. Просто "наверху" пофиг -) Вот и хочу просто закрыть эту чуму или хотя бы днём прекращать халяву.
На ночь - пускай себе рейтинг нагоняют. Они же на отдачу ставят и формально фирме бесплатно, т.к. платим только за входящий трафик. А исходящий бесплатно. Вот такие дела -)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

25. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от LPby (ok) on 19-Авг-11, 15:48 
> Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши
> правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу
> будет не интересно.

Возможно можно просто мониторинг применить и использовать административный ресурс в отношении тех, кто не умеет пользоваться ограничителем скорости для торрентов.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от troopertm (ok) on 21-Июл-11, 09:58 
>[оверквотинг удален]
> Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто
> не хочу
> лишнего на ней.
> Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой
> трафик?
> В Linux есть расширения для iptables для просмотра типа трафика и действия
> с ними уже
> на основании правил. В PF такого не нашёл.
> Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.
> Спасибо.

QoS - не?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от akagi on 14-Авг-11, 17:54 
>[оверквотинг удален]
> Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто
> не хочу
> лишнего на ней.
> Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой
> трафик?
> В Linux есть расширения для iptables для просмотра типа трафика и действия
> с ними уже
> на основании правил. В PF такого не нашёл.
> Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.
> Спасибо.

Всё достаточно просто, закройте запросы на порты выше 1024 по udp и tcp и приём с них.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Pahanivo (ok) on 15-Авг-11, 14:31 
> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
> tcp и приём с них.

простите, вы идиот? ))

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от skeletor (ok) on 15-Авг-11, 17:30 
Как вариант ограничивать количество коннектов с одного IP до 50. Для серфинга по сети - вполне хватит.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Pahanivo (ok) on 16-Авг-11, 09:11 
> Как вариант ограничивать количество коннектов с одного IP до 50. Для серфинга
> по сети - вполне хватит.

а udp ?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от skeletor (ok) on 16-Авг-11, 10:00 
А что udp нельзя блокировать таким образом? Не совсем понял вопрос.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

27. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Aquarius (ok) on 24-Авг-11, 18:07 
> А что udp нельзя блокировать таким образом? Не совсем понял вопрос.

в udp не используется концепция соединения
можно ограничить количество посылок (не пакетов) в единицу времени - это максимум, что можно сделать без костылей

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Pahanivo (ok) on 16-Авг-11, 19:18 
>> Как вариант ограничивать количество коннектов с одного IP до 50. Для серфинга
>> по сети - вполне хватит.
> а udp ?

что вы понимаете под коннектами udp?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от akagi on 16-Авг-11, 14:33 
>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
>> tcp и приём с них.
> простите, вы идиот? ))

Идиота прощаю.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Pahanivo (ok) on 16-Авг-11, 19:19 
>>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
>>> tcp и приём с них.
>> простите, вы идиот? ))
> Идиота прощаю.

)) за это я расскажу тебе страшную тайну дружок - например закрыв udp > 1024 ты как минимум потеряешь ДНС

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от akagi on 17-Авг-11, 22:53 
>>>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и
>>>> tcp и приём с них.
>>> простите, вы идиот? ))
>> Идиота прощаю.
> )) за это я расскажу тебе страшную тайну дружок - например закрыв
> udp > 1024 ты как минимум потеряешь ДНС

Дружок у тебя в трусах, а днс работает на 53 порту,а не на портах выше 1024 которые я предложил закрыть.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Pahanivo (ok) on 18-Авг-11, 16:47 
> Дружок у тебя в трусах, а днс работает на 53 порту,а не
> на портах выше 1024 которые я предложил закрыть.

мысли от русах мешают тебе разделять серверную часть от клиентской

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от akagi on 19-Авг-11, 03:07 
>> Дружок у тебя в трусах, а днс работает на 53 порту,а не
>> на портах выше 1024 которые я предложил закрыть.
> мысли от русах мешают тебе разделять серверную часть от клиентской

аргументируй

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Pahanivo (ok) on 19-Авг-11, 08:12 
> аргументируй
>> Всё достаточно просто, закройте запросы на порты выше 1024 по udp и tcp и приём с них.

с запросами (setup) на tcp все какбЭ понятно - нету сервиса спокойно грохаем сетапы и все
хотя в случае торента кто вам сказал что сетапы будут в нашу сторону?
какие запросы ты собрался закрывать для udp - какгбЭ слабо понятно, там их просто нЭт, а запросы от клиентов выходят с верхних портов - соотв. все ответы будут грохаться в данном случае, если конЭчна не стайтфул фаревол
и кстати, торрет умеет юзать udp-транспорт насколько я знаю

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от анон on 19-Авг-11, 08:16 
>>> Дружок у тебя в трусах, а днс работает на 53 порту,а не
>>> на портах выше 1024 которые я предложил закрыть.
>> мысли от русах мешают тебе разделять серверную часть от клиентской
> аргументируй

Он имел в виду, что клиенты будут получать ответ от dns-сервера на порт выше 1024-го (в диапазоне т.н. эфемерных портов)

..другое дело, что на это можно было указать тактичнее

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Pahanivo (ok) on 19-Авг-11, 08:51 
> ..другое дело, что на это можно было указать тактичнее

согласен, но автор сморозил такую чушь что я не сдержался ))

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Andrey Mitrofanov on 19-Авг-11, 12:59 
> )) за это я расскажу тебе страшную тайну дружок - например закрыв
> udp > 1024 ты как минимум потеряешь ДНС

"Он имел в виду" :-D , что
(звиняйте, как это будет по опенбздешному, не знаю)
iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j DROP
(или типа того)
_не_ сломает DNS запросы клиентов~~~

...но сломает большУю часть торентов, например.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от znara email on 19-Авг-11, 13:18 
Яйца бы вам оторвать за такие вопросы. Зачем полностью рубить? Или на Михалкова трудитесь?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Andrey Mitrofanov on 19-Авг-11, 13:23 
> Михалкова трудитесь?

Гы-ы-ы!!!! Работает!!1! /// ...сынок, иди в... школу.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от znara on 19-Авг-11, 13:36 
>> Михалкова трудитесь?
> Гы-ы-ы!!!! Работает!!1! /// ...сынок, иди в... школу.

Учись делать приоритеты для траффика и резать канал, папа

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Блокирование торрентов в проходящем трафике"  +/
Сообщение от Junior (ok) on 20-Авг-11, 22:32 
>> )) за это я расскажу тебе страшную тайну дружок - например закрыв
>> udp > 1024 ты как минимум потеряешь ДНС
> "Он имел в виду" :-D , что
> (звиняйте, как это будет по опенбздешному, не знаю)
> iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j
> DROP
> (или типа того)
> _не_ сломает DNS запросы клиентов~~~
> ...но сломает большУю часть торентов, например.

А не проще?
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j LOG --log-level info --log-prefix "p2p "
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j DROP

Но здесь не Linux обсуждается.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру