[Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Yuri Khachaturyan]

Добрый день!

Подскажите пожалуйста, может кто сталкивался?
Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
(iptables), чтобы не грузили канал торрентами? А то один умник
запускает прием / раздачу торрентов и просаживает весь канал.

Вариант с ограничением скорости конкретным юзерам не подходит - им
чаще всего нужно для работы что-то быстро скачать.
Мне в голову приходит только ограничение числа одновременно открытых
коннектов. Может кто сталкивался, интересно посмотреть примеры и
понять саму логику, как это сделать без ущерба для всех остальных.

-- 
С уважением,
Хачатурян Юрий (yukh@yukh.ru)

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Michael Shigorin]

On Fri, Mar 25, 2011 at 04:48:08PM +0300, Yuri Khachaturyan wrote:
> Вариант с ограничением скорости конкретным юзерам не подходит -
> им чаще всего нужно для работы что-то быстро скачать.
> Мне в голову приходит только ограничение числа одновременно открытых
> коннектов. Может кто сталкивался, интересно посмотреть примеры и
> понять саму логику, как это сделать без ущерба для всех остальных.

Так этому умнику и закрыть.  Ограничить максимум 20..50 коннекшенами
-- для мирных применений обычно достаточно.  Или ещё эффективней,
админмерами в виде показательного снятия премии с озвученным
пояснением причины.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Denis Nazarov]

25.03.2011 18:48, Yuri Khachaturyan пишет:
> Добрый день!
>
> Подскажите пожалуйста, может кто сталкивался?
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.

странно... у меня через нат на роутере торренты качать - качали, но 
раздавать не могли до тех пор, пока я вручную порты не пробрасывал.
Позакрывать этому умнику все порты, открыть только 80,443 ну и 5190 для 
аси. Пусть тогда покачает :)

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Yuri Khachaturyan]

>> Вариант с ограничением скорости конкретным юзерам не подходит -
>> им чаще всего нужно для работы что-то быстро скачать.
>> Мне в голову приходит только ограничение числа одновременно открытых
>> коннектов. Может кто сталкивался, интересно посмотреть примеры и
>> понять саму логику, как это сделать без ущерба для всех остальных.
>
> Так этому умнику и закрыть.  Ограничить максимум 20..50 коннекшенами
> -- для мирных применений обычно достаточно.

Я думаю, что не одному умнику, а всем, кроме группы избранных =)
сделатть такое ограничение. Как - пока не искал и не читал... Потому
как сегодня один, а завтра кто-то другой...

> Или ещё эффективней,
> админмерами в виде показательного снятия премии с озвученным
> пояснением причины.

Админмерами не прокатывает по причинам специфики работы - на 70% люди
выкачивают видео и звуковые материалы с любых файлообменников для
работы (телевидение блин).


-- 
С уважением,
Хачатурян Юрий (yukh@yukh.ru)

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Yuri Khachaturyan]

>> Подскажите пожалуйста, может кто сталкивался?
>> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
>> (iptables), чтобы не грузили канал торрентами? А то один умник
>> запускает прием / раздачу торрентов и просаживает весь канал.
>
> странно... у меня через нат на роутере торренты качать - качали, но
> раздавать не могли до тех пор, пока я вручную порты не пробрасывал.
> Позакрывать этому умнику все порты, открыть только 80,443 ну и 5190 для аси.
> Пусть тогда покачает :)

Позакрывать на выход? Тоже не получится - много специфического софта
используется и неизвестно какие порты какой софтине понадобятся ((( Об
этом я тоже думал, не прокатывает вариант...

-- 
С уважением,
Хачатурян Юрий (yukh@yukh.ru)

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Michael Shigorin]

On Fri, Mar 25, 2011 at 05:15:22PM +0300, Yuri Khachaturyan wrote:
> > Или ещё эффективней, админмерами в виде показательного снятия
> > премии с озвученным пояснением причины.
> Админмерами не прокатывает по причинам специфики работы -
> на 70% люди выкачивают видео и звуковые материалы с любых
> файлообменников для работы (телевидение блин).

Если безобразик ясен и взаимопонимание с руководством есть,
то должно прокатить; если нет -- можно вывесить на видном месте
объявление вида "за тормоза вчера благодарим имярек".

Если меняются -- тогда всё-таки стоит начинать с ограничения
хотя бы в 50, но всем.  Только оно и на скайп повлиять может.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Yuri Khachaturyan]

> Если безобразик ясен и взаимопонимание с руководством есть,
> то должно прокатить; если нет -- можно вывесить на видном месте
> объявление вида "за тормоза вчера благодарим имярек".

Взаимопонимание есть, но все равно не прокатывает. Производственный
процесс для руководства важнее и ему все равно какими средствами этот
процесс движется вперед. Объяснять человеку, что и как делать нельзя -
бесполезно. Потому хочется глобально что-то решить для всей сети.

> Если меняются -- тогда всё-таки стоит начинать с ограничения
> хотя бы в 50, но всем.  Только оно и на скайп повлиять может.

А можно с этого места поподробнее?
50 соедиений на IP - как это может сказаться на скайпе? Скайп для нас
очень важен - многие подводки и телемосты идут только через него...


-- 
С уважением,
Хачатурян Юрий (yukh@yukh.ru)

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 683 bytes --]

25.03.2011 15:48, Yuri Khachaturyan пишет:
> Добрый день!
>
> Подскажите пожалуйста, может кто сталкивался?
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.
Прикрутите классификатор к iptables
Например:
https://code.google.com/p/opendpi/
http://l7-filter.sourceforge.net

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/pkcs7-signature, Size: 5525 bytes --]

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Alexey Morsov]

On Fri, Mar 25, 2011 at 05:24:20PM +0300, Yuri Khachaturyan wrote:

> Позакрывать на выход? Тоже не получится - много специфического софта
> используется и неизвестно какие порты какой софтине понадобятся ((( Об
> этом я тоже думал, не прокатывает вариант...
А угнать всех на проксю принудительно не?
Скайп через нее сам пролезет без проблем :)


-- 
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member

<thresh> говно эти шапки и суси
<thresh> нет, суси я люблю
<thresh> а suse нет

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Yuri Khachaturyan]

>> Позакрывать на выход? Тоже не получится - много специфического софта
>> используется и неизвестно какие порты какой софтине понадобятся ((( Об
>> этом я тоже думал, не прокатывает вариант...
> А угнать всех на проксю принудительно не?
> Скайп через нее сам пролезет без проблем :)

С проксей тоже не особо получается - для этого надо перед роутером с
nat ставить отдельный сервак с прозрачной прокси. От nat отказываться
нельзя - через ipt_NETFLOW по цепочке FORWARD трафик считается...

-- 
С уважением,
Хачатурян Юрий (yukh@yukh.ru)

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[v.n.belyaev]

Здравствуйте, Yuri.

Вы писали 25 марта 2011 г., 19:57:04:

YK> нельзя - через ipt_NETFLOW по цепочке FORWARD трафик считается...
А зачем?
И, кстати - может быть пойти с другой стороны - просто запретить
запуск торрента на клиентах?



-- 
С уважением,
 v                          mailto:v.n.belyaev@gmail.com

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Alexey Morsov]

On Fri, Mar 25, 2011 at 05:57:04PM +0300, Yuri Khachaturyan wrote:
> С проксей тоже не особо получается - для этого надо перед роутером с
Зачем. туда же сквид и форвардить 80 443 туда.

> nat ставить отдельный сервак с прозрачной прокси. От nat отказываться
> нельзя - через ipt_NETFLOW по цепочке FORWARD трафик считается...
А вообще правильно выше сказали. Самые простое и эффективное -
административные меры. 


-- 
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member

> То есть кто будет собирать perl-5.8.6 на glibc-2.3.5, тем привет.
(Шёпотом: особенно Owl привет...)
		-- at in sisyphus@

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Michael Shigorin]

On Fri, Mar 25, 2011 at 05:32:13PM +0300, Yuri Khachaturyan wrote:
> > Если безобразик ясен и взаимопонимание с руководством есть,
> > то должно прокатить; если нет -- можно вывесить на видном месте
> > объявление вида "за тормоза вчера благодарим имярек".
> Взаимопонимание есть, но все равно не прокатывает. Производственный
> процесс для руководства важнее и ему все равно какими средствами этот
> процесс движется вперед. Объяснять человеку, что и как делать нельзя -
> бесполезно. Потому хочется глобально что-то решить для всей сети.

Это не решается глобально технически -- если возьмёте
стомегабитный канал и "типа продвинутый" контингент есть,
то обязательно найдётся достаточно наивный/жадный, чтоб
не смочь/додуматься поставить шайбу в торрент-клиенте
и не отсвечивать в общем зачёте.

Если скорее наивный, чем жадный -- можно сперва попробовать
объяснить, что лучше бы он поискал настройки полосы пропускания
в торрент-клиенте и ограничился, скажем, мегабитом и тремя
десятками коннекшенов "на всё".

А если скорее жадный -- то поскольку человек таким образом
не только использует ресурсы фирмы не по назначению, но ещё
и наносит ущерб продуктивности коллег -- вправлять мозги надо
именно на этот счёт.

> > Если меняются -- тогда всё-таки стоит начинать с ограничения
> > хотя бы в 50, но всем.  Только оно и на скайп повлиять может.
> А можно с этого места поподробнее?  50 соедиений на IP - как
> это может сказаться на скайпе? Скайп для нас очень важен -
> многие подводки и телемосты идут только через него...

50 может и не сказаться, а вот при 20/host может уже и не
коннектиться (плюс, помнится, от версии зависело).

Мы проходили нечто подобное с "коробочковым" маршрутизатором,
когда люди банально забывали погасить торрент-клиента на ноуте
и избыточным количеством соединений "захлёбывали" слабенькую
машинку, при этом даже не насыщая сам канал.  Попытки подобрать
разумное ограничение кол-ва соединений показали, что достаточно
эффективное в целях предотвращения DoS (~20) уже влияет на skype
(которым тоже пользуются в т.ч. в служебных целях), а достаточно
безопасное для skype (~50--70) не решает проблему с торрентами,
хотя и облегчает её по сравнению со, скажем, 400 соединений.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Mikhail]

Здравствуйте, Yuri.

Вы писали 25 марта 2011 г., 16:48:08:

> Подскажите пожалуйста, может кто сталкивался?

Сталкивался.

> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами?

Одним  пакетником  не  справится. Нужен еще шейпер, и очень желательно
прокси.

Первую   проблему  создаст  скайп.  Отличить  его  от  торрент клиента,
проблематично. Но скайп можно завернуть через проксю.

Торрент   клиент,   должен  подключатся  к  торрент  трекерам.   Можно
отследить  эти трекеры, и забанить.  Это ручная работа.  Если еще HTTP
пустить  через  проксю, то можно вычислить и торрент серверы, и банить
их автоматом на лету, основываясь на разборе адреса.  Проблему создаст
DHT.  Вот с ним я бороться не пробовал, но возможно то же способ есть.

> Вариант с ограничением скорости конкретным юзерам не подходит - им
> чаще всего нужно для работы что-то быстро скачать.

"Что-то"  быстро  скачать,  обычно  HTTP/FTP,  или  у  вас  что-то  не
типичное, и качает по другим протоколам/портам?

Вот  тут  делается  шейпер,  для входящего. Весь "легитимный" проходит
шейпер  без  ограничений,  а весь остальной трафик, использует, то что
остается.  Или  не  резать  скорость, а просто пересортировать трафик.
"легитимное" идет в первую очередь.

Для  исходящего,  кроме  ограничения  скорости  шейпера,  ставите  еще
пересортировку  пакетов.  Весь  легитимный  трафик,  проходит шейпер в
первую очередь, и если очередь пуста, то идет весь остальной трафик.

> С проксей тоже не особо получается - для этого надо перед роутером с
> nat   ставить   отдельный   сервак  с  прозрачной  прокси.   От  nat
> отказываться  нельзя  -  через ipt_NETFLOW по цепочке FORWARD трафик
> считается...

Существует  мнение,  что  прокси  нужно  ставить  на  машину  с  двумя
интерфейсами.   Один   смотрит   в   локалку,  а  второй  наружу.  Это
заблуждение.   Прокси   прекрасно   будет  работать  на  любой  машине
подключенной  к  локальной  сети, и имеющей один интерфейс.

А почему нельзя поставить прокси на машину с NAT?

И почему обязательно прозрачный? Для скайпа лучше именно не прозрачный
и  стоящий  на  шлюзе, тогда скайп сам найдет этот прокси, и запретить
ему так делать у меня не получается.

И  почему  обязательно  считать  трафик  в форвард цепочке? Есть более
другие места для этого. Тогда и прокси не будет мешать считать трафик.
И вообще, с какой целью считается трафик?

И  трафик  прокси  то  же  можно  посчитать.  И добавить его к трафику
посчитанному в форвард цепочке.

-- 
С уважением,
 Mikhail                          mailto:lists@mishel.tk

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Alexei Takaseev]

----- Исходное сообщение -----
> От: "Mikhail" <lists@mishel.tk>
> Кому: "Yuri Khachaturyan" <yukh@yukh.ru>
> Копия: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
> Отправленные: Суббота, 26 Март 2011 г 3:01:10
> Тема: Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
> Здравствуйте, Yuri.
> 
> Вы писали 25 марта 2011 г., 16:48:08:
> 
> > Подскажите пожалуйста, может кто сталкивался?
> 
> Сталкивался.
> 
> > Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> > (iptables), чтобы не грузили канал торрентами?
> 
> Одним пакетником не справится. Нужен еще шейпер, и очень желательно
> прокси.
> 
> Первую проблему создаст скайп. Отличить его от торрент клиента,
> проблематично. Но скайп можно завернуть через проксю.

Медиатрафик (который собственно и создает все проблемы) отфильтровать архисложно
(он сейчас еще и шифруется все чаще и чаще). Но если позволяет политика партии,
то можно попробовать ловить контрольный трафик торрента - от клиента к трекеру.
И просто тупо его дропать.

Клиент не может достучаться до трекера -> в сети он не анонсируется -> ничего не
качается.

У нас блокировать торренты было нельзя. Потому особо злостные качки зажимались
шейпером на 128к по такой схеме: по всем клиентам считался суммарный трафик за
последние 24 часа (не сутки!), и если трафик превышал определенный лимит, то
скорость резалась. Проверки делались каждый час.

Как результат, в постоянном "зажиме" сидело 20-30 одних и тех же лиц, которые
умудрялись забивать канал, на котором комфортно работало 1500-2000 человек.

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Anton Farygin]

26.03.2011 05:45, Alexei Takaseev пишет:
>>
>> Первую проблему создаст скайп. Отличить его от торрент клиента,
>> проблематично. Но скайп можно завернуть через проксю.
>
> Медиатрафик (который собственно и создает все проблемы) отфильтровать архисложно
> (он сейчас еще и шифруется все чаще и чаще). Но если позволяет политика партии,
> то можно попробовать ловить контрольный трафик торрента - от клиента к трекеру.
> И просто тупо его дропать.
>
> Клиент не может достучаться до трекера ->  в сети он не анонсируется ->  ничего не
> качается.
>
> У нас блокировать торренты было нельзя. Потому особо злостные качки зажимались
> шейпером на 128к по такой схеме: по всем клиентам считался суммарный трафик за
> последние 24 часа (не сутки!), и если трафик превышал определенный лимит, то
> скорость резалась. Проверки делались каждый час.
>
> Как результат, в постоянном "зажиме" сидело 20-30 одних и тех же лиц, которые
> умудрялись забивать канал, на котором комфортно работало 1500-2000 человек.

Юра, отличная схема - сам хотел предложить шейпер покрутить примерно в 
этом направлении.

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Mikhail]

Здравствуйте, Yuri.

Вы писали 25 марта 2011 г., 17:48:08:

> Подскажите пожалуйста, может кто сталкивался?
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.

Вот  еще  одна  мысля  пришла,  но  если  есть собственный DNS сервер.
Некоторые   торрент   трекеры   добавляют  вот  такой  торрент  трекер
http://retracker.local/announce

Идея,  ставим  некий  левый для инета и локалки адрес для ретрекера, и
кто   будет   ломится   на этот адрес, аккуратно заносим в списочек на
два часа. А по этому списочку сильно режем трафик шейпером.

-- 
С уважением,
 Mikhail                          mailto:lists@mishel.tk

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Michael Shigorin]

On Mon, Mar 28, 2011 at 10:16:40AM +0400, Алексей Кайтаз wrote:
> > http://retracker.local/announce
> > Идея,  ставим  некий  левый для инета и локалки адрес для
> > ретрекера, и кто   будет   ломится   на этот адрес, аккуратно
> > заносим в списочек на два часа. А по этому списочку сильно
> > режем трафик шейпером.
> Просто и гениально :)

+1, спасибо :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Mike A]

25 марта 2011 г. 16:48 пользователь Yuri Khachaturyan <yukh@yukh.ru> написал:
> Добрый день!
>
> Подскажите пожалуйста, может кто сталкивался?
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.
>
> Вариант с ограничением скорости конкретным юзерам не подходит - им
> чаще всего нужно для работы что-то быстро скачать.
> Мне в голову приходит только ограничение числа одновременно открытых
> коннектов. Может кто сталкивался, интересно посмотреть примеры и
> понять саму логику, как это сделать без ущерба для всех остальных.
>
> --
> С уважением,
> Хачатурян Юрий (yukh@yukh.ru)

Ширина канала известна? Количество пользователей известно?
Шейпер в руки, делим канал на всех ровно, приоритет для skype и т.д.

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Бабич Алексей]

> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.
Предполагаю, что дисциплину ESFQ на отдающий интерфейс поставить. Настроить так, чтобы в очереди пакеты попадали по признаку адреса назначения.
Тогда неважно, сколько юзеров и сколько чего качает: все очереди будут двигаться с равномерной скоростью (если не пустые), а значит, все конкурирующие за канал будут находиться в равных условиях по скорости. Неважно, с какой скоростью им отправляет пакеты отправитель, какие используются протоколы и тем более количество соединений TCP.

-- 
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru

Правильно квотить так: http://news.baragoz.ru/quote.php

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Mikhail]

Здравствуйте, Бабич.

Вы писали 1 апреля 2011 г., 7:51:22:

>> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
>> (iptables), чтобы не грузили канал торрентами? А то один умник
>> запускает прием / раздачу торрентов и просаживает весь канал.
> Предполагаю, что дисциплину ESFQ на отдающий интерфейс поставить.
> Настроить так, чтобы в очереди пакеты попадали по признаку адреса назначения.
> Тогда неважно, сколько юзеров и сколько чего качает: все очереди
> будут двигаться с равномерной скоростью (если не пустые), а значит,
> все конкурирующие за канал будут находиться в равных условиях по
> скорости. Неважно, с какой скоростью им отправляет пакеты
> отправитель, какие используются протоколы и тем более количество соединений TCP.

Не поможет, по очень простой причине.


-- 
С уважением,
 Mikhail                          mailto:lists@mishel.tk

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Бабич Алексей]

> Не поможет, по очень простой причине.
Хотелось бы услышать, по какой.
-- 
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru

Правильно квотить так: http://news.baragoz.ru/quote.php

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Alexei Takaseev]

----- Исходное сообщение -----
> От: "Бабич Алексей" <a.babich@rez.ru>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Пятница, 1 Апрель 2011 г 18:13:22
> Тема: Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
> > Не поможет, по очень простой причине.
> Хотелось бы услышать, по какой.

Как показывает практика, не смотря на всевозможные "справедливые" политики распределения
едоной полосы, торрентщики захватывают под себя максимум ресурсов из доступных.


Собственно, в приложении к торрентщикам вы собственные рекомендации применяли, или рассуждаете
академически? У меня опыт самый наипрактичнейший. И использование [E]SFQ, как метода, тоже было.
И все равно пришлось придумывать нечто совсем иное.

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Бабич Алексей]

> Как показывает практика, не смотря на всевозможные "справедливые" политики распределения
> едоной полосы, торрентщики захватывают под себя максимум ресурсов из доступных.
> Собственно, в приложении к торрентщикам вы собственные рекомендации применяли, или рассуждаете
> академически? У меня опыт самый наипрактичнейший. И использование [E]SFQ, как метода, тоже было.
> И все равно пришлось придумывать нечто совсем иное.
Академический только, тут крыть нечем. В теории должно быть всё клёво. Что-то мне кажется, что вы не очень правильно юзали ESFQ ;) А SFQ в классической реализации точно делает неправильную классификацию. Вернее, неподходящую. Потому она и не работает для торрентоводов.
-- 
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru

Правильно квотить так: http://news.baragoz.ru/quote.php

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Mikhail]

Здравствуйте, Бабич.

Вы писали 1 апреля 2011 г., 13:13:22:

>> Не поможет, по очень простой причине.
> Хотелось бы услышать, по какой.

Ширина входящего канала в разы меньше ширины исходящего.

-- 
С уважением,
 Mikhail                          mailto:lists@mishel.tk

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Бабич Алексей]

> >> Не поможет, по очень простой причине.
> > Хотелось бы услышать, по какой.
> Ширина входящего канала в разы меньше ширины исходящего.
Занятость исходящего так-же регулируется посредством ESFQ поровну.
В общем, не видно принципиальных проблем. Был бы сисадмином - отчитался бы об эксперименте, но это не моя всё таки юрисдикция.
-- 
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru

Правильно квотить так: http://news.baragoz.ru/quote.php

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Alexei Takaseev]

----- Исходное сообщение -----
> От: "Бабич Алексей" <a.babich@rez.ru>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Пятница, 1 Апрель 2011 г 20:00:00
> Тема: Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
> > >> Не поможет, по очень простой причине.
> > > Хотелось бы услышать, по какой.
> > Ширина входящего канала в разы меньше ширины исходящего.
> Занятость исходящего так-же регулируется посредством ESFQ поровну.
> В общем, не видно принципиальных проблем. Был бы сисадмином -
> отчитался бы об эксперименте, но это не моя всё таки юрисдикция.

Любопытно посмотреть на результаты Вашего эксперимента для вводной: от "легистимных"
клиентом имеем 100 соединений в секунду, от "качков" - 10 тыс. И как при таких вводных
ваша "серебрянная пуля" поделит полосу?

Порядок цифр относительный, но пропорции сохраняются.

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Mikhail]

Здравствуйте, Бабич.

Вы писали 1 апреля 2011 г., 15:00:00:

>> >> Не поможет, по очень простой причине.
>> > Хотелось бы услышать, по какой.
>> Ширина входящего канала в разы меньше ширины исходящего.
> Занятость исходящего так-же регулируется посредством ESFQ поровну.
> В общем, не видно принципиальных проблем. Был бы сисадмином -
> отчитался бы об эксперименте, но это не моя всё таки юрисдикция.

Вот именно. Были бы сис админом....

-- 
С уважением,
 Mikhail                          mailto:lists@mishel.tk

Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

[Бабич Алексей]

> Любопытно посмотреть на результаты Вашего эксперимента для вводной: от "легистимных"
> клиентом имеем 100 соединений в секунду, от "качков" - 10 тыс. И как при таких вводных
> ваша "серебрянная пуля" поделит полосу?
ESFQ поделит поровну :) Вернее, должна. Сейчас, правда, не могу сообразить: она поровну по критерию количества пакетов делает или по среднему объёму данных в пакетах. Практикой подтвердиь не могу, пардон.
Ну, ладно, чёрт с ней.
-- 
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru

Правильно квотить так: http://news.baragoz.ru/quote.php