* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 13:48 [Sysadmins] Борьба с торрентами на роутере с помощью iptables Yuri Khachaturyan
@ 2011-03-25 14:11 ` Michael Shigorin
2011-03-25 14:15 ` Yuri Khachaturyan
2011-03-25 14:15 ` Denis Nazarov
` (5 subsequent siblings)
6 siblings, 1 reply; 29+ messages in thread
From: Michael Shigorin @ 2011-03-25 14:11 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Fri, Mar 25, 2011 at 04:48:08PM +0300, Yuri Khachaturyan wrote:
> Вариант с ограничением скорости конкретным юзерам не подходит -
> им чаще всего нужно для работы что-то быстро скачать.
> Мне в голову приходит только ограничение числа одновременно открытых
> коннектов. Может кто сталкивался, интересно посмотреть примеры и
> понять саму логику, как это сделать без ущерба для всех остальных.
Так этому умнику и закрыть. Ограничить максимум 20..50 коннекшенами
-- для мирных применений обычно достаточно. Или ещё эффективней,
админмерами в виде показательного снятия премии с озвученным
пояснением причины.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 14:11 ` Michael Shigorin
@ 2011-03-25 14:15 ` Yuri Khachaturyan
2011-03-25 14:28 ` Michael Shigorin
0 siblings, 1 reply; 29+ messages in thread
From: Yuri Khachaturyan @ 2011-03-25 14:15 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmins' discussion
>> Вариант с ограничением скорости конкретным юзерам не подходит -
>> им чаще всего нужно для работы что-то быстро скачать.
>> Мне в голову приходит только ограничение числа одновременно открытых
>> коннектов. Может кто сталкивался, интересно посмотреть примеры и
>> понять саму логику, как это сделать без ущерба для всех остальных.
>
> Так этому умнику и закрыть. Ограничить максимум 20..50 коннекшенами
> -- для мирных применений обычно достаточно.
Я думаю, что не одному умнику, а всем, кроме группы избранных =)
сделатть такое ограничение. Как - пока не искал и не читал... Потому
как сегодня один, а завтра кто-то другой...
> Или ещё эффективней,
> админмерами в виде показательного снятия премии с озвученным
> пояснением причины.
Админмерами не прокатывает по причинам специфики работы - на 70% люди
выкачивают видео и звуковые материалы с любых файлообменников для
работы (телевидение блин).
--
С уважением,
Хачатурян Юрий (yukh@yukh.ru)
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 14:15 ` Yuri Khachaturyan
@ 2011-03-25 14:28 ` Michael Shigorin
2011-03-25 14:32 ` Yuri Khachaturyan
0 siblings, 1 reply; 29+ messages in thread
From: Michael Shigorin @ 2011-03-25 14:28 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Fri, Mar 25, 2011 at 05:15:22PM +0300, Yuri Khachaturyan wrote:
> > Или ещё эффективней, админмерами в виде показательного снятия
> > премии с озвученным пояснением причины.
> Админмерами не прокатывает по причинам специфики работы -
> на 70% люди выкачивают видео и звуковые материалы с любых
> файлообменников для работы (телевидение блин).
Если безобразик ясен и взаимопонимание с руководством есть,
то должно прокатить; если нет -- можно вывесить на видном месте
объявление вида "за тормоза вчера благодарим имярек".
Если меняются -- тогда всё-таки стоит начинать с ограничения
хотя бы в 50, но всем. Только оно и на скайп повлиять может.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 14:28 ` Michael Shigorin
@ 2011-03-25 14:32 ` Yuri Khachaturyan
2011-03-25 17:51 ` Michael Shigorin
0 siblings, 1 reply; 29+ messages in thread
From: Yuri Khachaturyan @ 2011-03-25 14:32 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmins' discussion
> Если безобразик ясен и взаимопонимание с руководством есть,
> то должно прокатить; если нет -- можно вывесить на видном месте
> объявление вида "за тормоза вчера благодарим имярек".
Взаимопонимание есть, но все равно не прокатывает. Производственный
процесс для руководства важнее и ему все равно какими средствами этот
процесс движется вперед. Объяснять человеку, что и как делать нельзя -
бесполезно. Потому хочется глобально что-то решить для всей сети.
> Если меняются -- тогда всё-таки стоит начинать с ограничения
> хотя бы в 50, но всем. Только оно и на скайп повлиять может.
А можно с этого места поподробнее?
50 соедиений на IP - как это может сказаться на скайпе? Скайп для нас
очень важен - многие подводки и телемосты идут только через него...
--
С уважением,
Хачатурян Юрий (yukh@yukh.ru)
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 14:32 ` Yuri Khachaturyan
@ 2011-03-25 17:51 ` Michael Shigorin
0 siblings, 0 replies; 29+ messages in thread
From: Michael Shigorin @ 2011-03-25 17:51 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Fri, Mar 25, 2011 at 05:32:13PM +0300, Yuri Khachaturyan wrote:
> > Если безобразик ясен и взаимопонимание с руководством есть,
> > то должно прокатить; если нет -- можно вывесить на видном месте
> > объявление вида "за тормоза вчера благодарим имярек".
> Взаимопонимание есть, но все равно не прокатывает. Производственный
> процесс для руководства важнее и ему все равно какими средствами этот
> процесс движется вперед. Объяснять человеку, что и как делать нельзя -
> бесполезно. Потому хочется глобально что-то решить для всей сети.
Это не решается глобально технически -- если возьмёте
стомегабитный канал и "типа продвинутый" контингент есть,
то обязательно найдётся достаточно наивный/жадный, чтоб
не смочь/додуматься поставить шайбу в торрент-клиенте
и не отсвечивать в общем зачёте.
Если скорее наивный, чем жадный -- можно сперва попробовать
объяснить, что лучше бы он поискал настройки полосы пропускания
в торрент-клиенте и ограничился, скажем, мегабитом и тремя
десятками коннекшенов "на всё".
А если скорее жадный -- то поскольку человек таким образом
не только использует ресурсы фирмы не по назначению, но ещё
и наносит ущерб продуктивности коллег -- вправлять мозги надо
именно на этот счёт.
> > Если меняются -- тогда всё-таки стоит начинать с ограничения
> > хотя бы в 50, но всем. Только оно и на скайп повлиять может.
> А можно с этого места поподробнее? 50 соедиений на IP - как
> это может сказаться на скайпе? Скайп для нас очень важен -
> многие подводки и телемосты идут только через него...
50 может и не сказаться, а вот при 20/host может уже и не
коннектиться (плюс, помнится, от версии зависело).
Мы проходили нечто подобное с "коробочковым" маршрутизатором,
когда люди банально забывали погасить торрент-клиента на ноуте
и избыточным количеством соединений "захлёбывали" слабенькую
машинку, при этом даже не насыщая сам канал. Попытки подобрать
разумное ограничение кол-ва соединений показали, что достаточно
эффективное в целях предотвращения DoS (~20) уже влияет на skype
(которым тоже пользуются в т.ч. в служебных целях), а достаточно
безопасное для skype (~50--70) не решает проблему с торрентами,
хотя и облегчает её по сравнению со, скажем, 400 соединений.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 13:48 [Sysadmins] Борьба с торрентами на роутере с помощью iptables Yuri Khachaturyan
2011-03-25 14:11 ` Michael Shigorin
@ 2011-03-25 14:15 ` Denis Nazarov
2011-03-25 14:24 ` Yuri Khachaturyan
2011-03-25 14:32 ` Slava Dubrovskiy
` (4 subsequent siblings)
6 siblings, 1 reply; 29+ messages in thread
From: Denis Nazarov @ 2011-03-25 14:15 UTC (permalink / raw)
To: sysadmins
25.03.2011 18:48, Yuri Khachaturyan пишет:
> Добрый день!
>
> Подскажите пожалуйста, может кто сталкивался?
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.
странно... у меня через нат на роутере торренты качать - качали, но
раздавать не могли до тех пор, пока я вручную порты не пробрасывал.
Позакрывать этому умнику все порты, открыть только 80,443 ну и 5190 для
аси. Пусть тогда покачает :)
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 14:15 ` Denis Nazarov
@ 2011-03-25 14:24 ` Yuri Khachaturyan
2011-03-25 14:43 ` Alexey Morsov
0 siblings, 1 reply; 29+ messages in thread
From: Yuri Khachaturyan @ 2011-03-25 14:24 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
>> Подскажите пожалуйста, может кто сталкивался?
>> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
>> (iptables), чтобы не грузили канал торрентами? А то один умник
>> запускает прием / раздачу торрентов и просаживает весь канал.
>
> странно... у меня через нат на роутере торренты качать - качали, но
> раздавать не могли до тех пор, пока я вручную порты не пробрасывал.
> Позакрывать этому умнику все порты, открыть только 80,443 ну и 5190 для аси.
> Пусть тогда покачает :)
Позакрывать на выход? Тоже не получится - много специфического софта
используется и неизвестно какие порты какой софтине понадобятся ((( Об
этом я тоже думал, не прокатывает вариант...
--
С уважением,
Хачатурян Юрий (yukh@yukh.ru)
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 14:24 ` Yuri Khachaturyan
@ 2011-03-25 14:43 ` Alexey Morsov
2011-03-25 14:57 ` Yuri Khachaturyan
0 siblings, 1 reply; 29+ messages in thread
From: Alexey Morsov @ 2011-03-25 14:43 UTC (permalink / raw)
To: sysadmins
On Fri, Mar 25, 2011 at 05:24:20PM +0300, Yuri Khachaturyan wrote:
> Позакрывать на выход? Тоже не получится - много специфического софта
> используется и неизвестно какие порты какой софтине понадобятся ((( Об
> этом я тоже думал, не прокатывает вариант...
А угнать всех на проксю принудительно не?
Скайп через нее сам пролезет без проблем :)
--
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member
<thresh> говно эти шапки и суси
<thresh> нет, суси я люблю
<thresh> а suse нет
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 14:43 ` Alexey Morsov
@ 2011-03-25 14:57 ` Yuri Khachaturyan
2011-03-25 15:33 ` v.n.belyaev
2011-03-25 15:35 ` Alexey Morsov
0 siblings, 2 replies; 29+ messages in thread
From: Yuri Khachaturyan @ 2011-03-25 14:57 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
>> Позакрывать на выход? Тоже не получится - много специфического софта
>> используется и неизвестно какие порты какой софтине понадобятся ((( Об
>> этом я тоже думал, не прокатывает вариант...
> А угнать всех на проксю принудительно не?
> Скайп через нее сам пролезет без проблем :)
С проксей тоже не особо получается - для этого надо перед роутером с
nat ставить отдельный сервак с прозрачной прокси. От nat отказываться
нельзя - через ipt_NETFLOW по цепочке FORWARD трафик считается...
--
С уважением,
Хачатурян Юрий (yukh@yukh.ru)
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 14:57 ` Yuri Khachaturyan
@ 2011-03-25 15:33 ` v.n.belyaev
2011-03-25 15:35 ` Alexey Morsov
1 sibling, 0 replies; 29+ messages in thread
From: v.n.belyaev @ 2011-03-25 15:33 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Здравствуйте, Yuri.
Вы писали 25 марта 2011 г., 19:57:04:
YK> нельзя - через ipt_NETFLOW по цепочке FORWARD трафик считается...
А зачем?
И, кстати - может быть пойти с другой стороны - просто запретить
запуск торрента на клиентах?
--
С уважением,
v mailto:v.n.belyaev@gmail.com
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 14:57 ` Yuri Khachaturyan
2011-03-25 15:33 ` v.n.belyaev
@ 2011-03-25 15:35 ` Alexey Morsov
1 sibling, 0 replies; 29+ messages in thread
From: Alexey Morsov @ 2011-03-25 15:35 UTC (permalink / raw)
To: sysadmins
On Fri, Mar 25, 2011 at 05:57:04PM +0300, Yuri Khachaturyan wrote:
> С проксей тоже не особо получается - для этого надо перед роутером с
Зачем. туда же сквид и форвардить 80 443 туда.
> nat ставить отдельный сервак с прозрачной прокси. От nat отказываться
> нельзя - через ipt_NETFLOW по цепочке FORWARD трафик считается...
А вообще правильно выше сказали. Самые простое и эффективное -
административные меры.
--
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member
> То есть кто будет собирать perl-5.8.6 на glibc-2.3.5, тем привет.
(Шёпотом: особенно Owl привет...)
-- at in sisyphus@
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 13:48 [Sysadmins] Борьба с торрентами на роутере с помощью iptables Yuri Khachaturyan
2011-03-25 14:11 ` Michael Shigorin
2011-03-25 14:15 ` Denis Nazarov
@ 2011-03-25 14:32 ` Slava Dubrovskiy
2011-03-25 19:01 ` Mikhail
` (3 subsequent siblings)
6 siblings, 0 replies; 29+ messages in thread
From: Slava Dubrovskiy @ 2011-03-25 14:32 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
[-- Attachment #1: Type: text/plain, Size: 683 bytes --]
25.03.2011 15:48, Yuri Khachaturyan пишет:
> Добрый день!
>
> Подскажите пожалуйста, может кто сталкивался?
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.
Прикрутите классификатор к iptables
Например:
https://code.google.com/p/opendpi/
http://l7-filter.sourceforge.net
--
WBR,
Dubrovskiy Vyacheslav
[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/pkcs7-signature, Size: 5525 bytes --]
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 13:48 [Sysadmins] Борьба с торрентами на роутере с помощью iptables Yuri Khachaturyan
` (2 preceding siblings ...)
2011-03-25 14:32 ` Slava Dubrovskiy
@ 2011-03-25 19:01 ` Mikhail
2011-03-26 2:45 ` Alexei Takaseev
2011-03-27 16:25 ` Mikhail
` (2 subsequent siblings)
6 siblings, 1 reply; 29+ messages in thread
From: Mikhail @ 2011-03-25 19:01 UTC (permalink / raw)
To: Yuri Khachaturyan; +Cc: ALT Linux sysadmins' discussion
Здравствуйте, Yuri.
Вы писали 25 марта 2011 г., 16:48:08:
> Подскажите пожалуйста, может кто сталкивался?
Сталкивался.
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами?
Одним пакетником не справится. Нужен еще шейпер, и очень желательно
прокси.
Первую проблему создаст скайп. Отличить его от торрент клиента,
проблематично. Но скайп можно завернуть через проксю.
Торрент клиент, должен подключатся к торрент трекерам. Можно
отследить эти трекеры, и забанить. Это ручная работа. Если еще HTTP
пустить через проксю, то можно вычислить и торрент серверы, и банить
их автоматом на лету, основываясь на разборе адреса. Проблему создаст
DHT. Вот с ним я бороться не пробовал, но возможно то же способ есть.
> Вариант с ограничением скорости конкретным юзерам не подходит - им
> чаще всего нужно для работы что-то быстро скачать.
"Что-то" быстро скачать, обычно HTTP/FTP, или у вас что-то не
типичное, и качает по другим протоколам/портам?
Вот тут делается шейпер, для входящего. Весь "легитимный" проходит
шейпер без ограничений, а весь остальной трафик, использует, то что
остается. Или не резать скорость, а просто пересортировать трафик.
"легитимное" идет в первую очередь.
Для исходящего, кроме ограничения скорости шейпера, ставите еще
пересортировку пакетов. Весь легитимный трафик, проходит шейпер в
первую очередь, и если очередь пуста, то идет весь остальной трафик.
> С проксей тоже не особо получается - для этого надо перед роутером с
> nat ставить отдельный сервак с прозрачной прокси. От nat
> отказываться нельзя - через ipt_NETFLOW по цепочке FORWARD трафик
> считается...
Существует мнение, что прокси нужно ставить на машину с двумя
интерфейсами. Один смотрит в локалку, а второй наружу. Это
заблуждение. Прокси прекрасно будет работать на любой машине
подключенной к локальной сети, и имеющей один интерфейс.
А почему нельзя поставить прокси на машину с NAT?
И почему обязательно прозрачный? Для скайпа лучше именно не прозрачный
и стоящий на шлюзе, тогда скайп сам найдет этот прокси, и запретить
ему так делать у меня не получается.
И почему обязательно считать трафик в форвард цепочке? Есть более
другие места для этого. Тогда и прокси не будет мешать считать трафик.
И вообще, с какой целью считается трафик?
И трафик прокси то же можно посчитать. И добавить его к трафику
посчитанному в форвард цепочке.
--
С уважением,
Mikhail mailto:lists@mishel.tk
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 19:01 ` Mikhail
@ 2011-03-26 2:45 ` Alexei Takaseev
2011-03-26 5:08 ` Anton Farygin
0 siblings, 1 reply; 29+ messages in thread
From: Alexei Takaseev @ 2011-03-26 2:45 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
----- Исходное сообщение -----
> От: "Mikhail" <lists@mishel.tk>
> Кому: "Yuri Khachaturyan" <yukh@yukh.ru>
> Копия: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
> Отправленные: Суббота, 26 Март 2011 г 3:01:10
> Тема: Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
> Здравствуйте, Yuri.
>
> Вы писали 25 марта 2011 г., 16:48:08:
>
> > Подскажите пожалуйста, может кто сталкивался?
>
> Сталкивался.
>
> > Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> > (iptables), чтобы не грузили канал торрентами?
>
> Одним пакетником не справится. Нужен еще шейпер, и очень желательно
> прокси.
>
> Первую проблему создаст скайп. Отличить его от торрент клиента,
> проблематично. Но скайп можно завернуть через проксю.
Медиатрафик (который собственно и создает все проблемы) отфильтровать архисложно
(он сейчас еще и шифруется все чаще и чаще). Но если позволяет политика партии,
то можно попробовать ловить контрольный трафик торрента - от клиента к трекеру.
И просто тупо его дропать.
Клиент не может достучаться до трекера -> в сети он не анонсируется -> ничего не
качается.
У нас блокировать торренты было нельзя. Потому особо злостные качки зажимались
шейпером на 128к по такой схеме: по всем клиентам считался суммарный трафик за
последние 24 часа (не сутки!), и если трафик превышал определенный лимит, то
скорость резалась. Проверки делались каждый час.
Как результат, в постоянном "зажиме" сидело 20-30 одних и тех же лиц, которые
умудрялись забивать канал, на котором комфортно работало 1500-2000 человек.
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-26 2:45 ` Alexei Takaseev
@ 2011-03-26 5:08 ` Anton Farygin
0 siblings, 0 replies; 29+ messages in thread
From: Anton Farygin @ 2011-03-26 5:08 UTC (permalink / raw)
To: sysadmins
26.03.2011 05:45, Alexei Takaseev пишет:
>>
>> Первую проблему создаст скайп. Отличить его от торрент клиента,
>> проблематично. Но скайп можно завернуть через проксю.
>
> Медиатрафик (который собственно и создает все проблемы) отфильтровать архисложно
> (он сейчас еще и шифруется все чаще и чаще). Но если позволяет политика партии,
> то можно попробовать ловить контрольный трафик торрента - от клиента к трекеру.
> И просто тупо его дропать.
>
> Клиент не может достучаться до трекера -> в сети он не анонсируется -> ничего не
> качается.
>
> У нас блокировать торренты было нельзя. Потому особо злостные качки зажимались
> шейпером на 128к по такой схеме: по всем клиентам считался суммарный трафик за
> последние 24 часа (не сутки!), и если трафик превышал определенный лимит, то
> скорость резалась. Проверки делались каждый час.
>
> Как результат, в постоянном "зажиме" сидело 20-30 одних и тех же лиц, которые
> умудрялись забивать канал, на котором комфортно работало 1500-2000 человек.
Юра, отличная схема - сам хотел предложить шейпер покрутить примерно в
этом направлении.
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 13:48 [Sysadmins] Борьба с торрентами на роутере с помощью iptables Yuri Khachaturyan
` (3 preceding siblings ...)
2011-03-25 19:01 ` Mikhail
@ 2011-03-27 16:25 ` Mikhail
2011-03-28 13:58 ` Mike A
2011-04-01 3:51 ` Бабич Алексей
6 siblings, 1 reply; 29+ messages in thread
From: Mikhail @ 2011-03-27 16:25 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Здравствуйте, Yuri.
Вы писали 25 марта 2011 г., 17:48:08:
> Подскажите пожалуйста, может кто сталкивался?
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.
Вот еще одна мысля пришла, но если есть собственный DNS сервер.
Некоторые торрент трекеры добавляют вот такой торрент трекер
http://retracker.local/announce
Идея, ставим некий левый для инета и локалки адрес для ретрекера, и
кто будет ломится на этот адрес, аккуратно заносим в списочек на
два часа. А по этому списочку сильно режем трафик шейпером.
--
С уважением,
Mikhail mailto:lists@mishel.tk
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 13:48 [Sysadmins] Борьба с торрентами на роутере с помощью iptables Yuri Khachaturyan
` (4 preceding siblings ...)
2011-03-27 16:25 ` Mikhail
@ 2011-03-28 13:58 ` Mike A
2011-04-01 3:51 ` Бабич Алексей
6 siblings, 0 replies; 29+ messages in thread
From: Mike A @ 2011-03-28 13:58 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
25 марта 2011 г. 16:48 пользователь Yuri Khachaturyan <yukh@yukh.ru> написал:
> Добрый день!
>
> Подскажите пожалуйста, может кто сталкивался?
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.
>
> Вариант с ограничением скорости конкретным юзерам не подходит - им
> чаще всего нужно для работы что-то быстро скачать.
> Мне в голову приходит только ограничение числа одновременно открытых
> коннектов. Может кто сталкивался, интересно посмотреть примеры и
> понять саму логику, как это сделать без ущерба для всех остальных.
>
> --
> С уважением,
> Хачатурян Юрий (yukh@yukh.ru)
Ширина канала известна? Количество пользователей известно?
Шейпер в руки, делим канал на всех ровно, приоритет для skype и т.д.
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-03-25 13:48 [Sysadmins] Борьба с торрентами на роутере с помощью iptables Yuri Khachaturyan
` (5 preceding siblings ...)
2011-03-28 13:58 ` Mike A
@ 2011-04-01 3:51 ` Бабич Алексей
2011-04-01 9:03 ` Mikhail
6 siblings, 1 reply; 29+ messages in thread
From: Бабич Алексей @ 2011-04-01 3:51 UTC (permalink / raw)
To: sysadmins
> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами? А то один умник
> запускает прием / раздачу торрентов и просаживает весь канал.
Предполагаю, что дисциплину ESFQ на отдающий интерфейс поставить. Настроить так, чтобы в очереди пакеты попадали по признаку адреса назначения.
Тогда неважно, сколько юзеров и сколько чего качает: все очереди будут двигаться с равномерной скоростью (если не пустые), а значит, все конкурирующие за канал будут находиться в равных условиях по скорости. Неважно, с какой скоростью им отправляет пакеты отправитель, какие используются протоколы и тем более количество соединений TCP.
--
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru
Правильно квотить так: http://news.baragoz.ru/quote.php
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-04-01 3:51 ` Бабич Алексей
@ 2011-04-01 9:03 ` Mikhail
2011-04-01 9:13 ` Бабич Алексей
0 siblings, 1 reply; 29+ messages in thread
From: Mikhail @ 2011-04-01 9:03 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Здравствуйте, Бабич.
Вы писали 1 апреля 2011 г., 7:51:22:
>> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
>> (iptables), чтобы не грузили канал торрентами? А то один умник
>> запускает прием / раздачу торрентов и просаживает весь канал.
> Предполагаю, что дисциплину ESFQ на отдающий интерфейс поставить.
> Настроить так, чтобы в очереди пакеты попадали по признаку адреса назначения.
> Тогда неважно, сколько юзеров и сколько чего качает: все очереди
> будут двигаться с равномерной скоростью (если не пустые), а значит,
> все конкурирующие за канал будут находиться в равных условиях по
> скорости. Неважно, с какой скоростью им отправляет пакеты
> отправитель, какие используются протоколы и тем более количество соединений TCP.
Не поможет, по очень простой причине.
--
С уважением,
Mikhail mailto:lists@mishel.tk
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-04-01 9:03 ` Mikhail
@ 2011-04-01 9:13 ` Бабич Алексей
2011-04-01 9:25 ` Alexei Takaseev
2011-04-01 10:49 ` Mikhail
0 siblings, 2 replies; 29+ messages in thread
From: Бабич Алексей @ 2011-04-01 9:13 UTC (permalink / raw)
To: sysadmins
> Не поможет, по очень простой причине.
Хотелось бы услышать, по какой.
--
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru
Правильно квотить так: http://news.baragoz.ru/quote.php
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-04-01 9:13 ` Бабич Алексей
@ 2011-04-01 9:25 ` Alexei Takaseev
2011-04-01 9:45 ` Бабич Алексей
2011-04-01 10:49 ` Mikhail
1 sibling, 1 reply; 29+ messages in thread
From: Alexei Takaseev @ 2011-04-01 9:25 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
----- Исходное сообщение -----
> От: "Бабич Алексей" <a.babich@rez.ru>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Пятница, 1 Апрель 2011 г 18:13:22
> Тема: Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
> > Не поможет, по очень простой причине.
> Хотелось бы услышать, по какой.
Как показывает практика, не смотря на всевозможные "справедливые" политики распределения
едоной полосы, торрентщики захватывают под себя максимум ресурсов из доступных.
Собственно, в приложении к торрентщикам вы собственные рекомендации применяли, или рассуждаете
академически? У меня опыт самый наипрактичнейший. И использование [E]SFQ, как метода, тоже было.
И все равно пришлось придумывать нечто совсем иное.
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-04-01 9:25 ` Alexei Takaseev
@ 2011-04-01 9:45 ` Бабич Алексей
0 siblings, 0 replies; 29+ messages in thread
From: Бабич Алексей @ 2011-04-01 9:45 UTC (permalink / raw)
To: sysadmins
> Как показывает практика, не смотря на всевозможные "справедливые" политики распределения
> едоной полосы, торрентщики захватывают под себя максимум ресурсов из доступных.
> Собственно, в приложении к торрентщикам вы собственные рекомендации применяли, или рассуждаете
> академически? У меня опыт самый наипрактичнейший. И использование [E]SFQ, как метода, тоже было.
> И все равно пришлось придумывать нечто совсем иное.
Академический только, тут крыть нечем. В теории должно быть всё клёво. Что-то мне кажется, что вы не очень правильно юзали ESFQ ;) А SFQ в классической реализации точно делает неправильную классификацию. Вернее, неподходящую. Потому она и не работает для торрентоводов.
--
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru
Правильно квотить так: http://news.baragoz.ru/quote.php
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-04-01 9:13 ` Бабич Алексей
2011-04-01 9:25 ` Alexei Takaseev
@ 2011-04-01 10:49 ` Mikhail
2011-04-01 11:00 ` Бабич Алексей
1 sibling, 1 reply; 29+ messages in thread
From: Mikhail @ 2011-04-01 10:49 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Здравствуйте, Бабич.
Вы писали 1 апреля 2011 г., 13:13:22:
>> Не поможет, по очень простой причине.
> Хотелось бы услышать, по какой.
Ширина входящего канала в разы меньше ширины исходящего.
--
С уважением,
Mikhail mailto:lists@mishel.tk
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-04-01 10:49 ` Mikhail
@ 2011-04-01 11:00 ` Бабич Алексей
2011-04-01 11:05 ` Alexei Takaseev
2011-04-01 11:12 ` Mikhail
0 siblings, 2 replies; 29+ messages in thread
From: Бабич Алексей @ 2011-04-01 11:00 UTC (permalink / raw)
To: sysadmins
> >> Не поможет, по очень простой причине.
> > Хотелось бы услышать, по какой.
> Ширина входящего канала в разы меньше ширины исходящего.
Занятость исходящего так-же регулируется посредством ESFQ поровну.
В общем, не видно принципиальных проблем. Был бы сисадмином - отчитался бы об эксперименте, но это не моя всё таки юрисдикция.
--
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru
Правильно квотить так: http://news.baragoz.ru/quote.php
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-04-01 11:00 ` Бабич Алексей
@ 2011-04-01 11:05 ` Alexei Takaseev
2011-04-01 11:53 ` Бабич Алексей
2011-04-01 11:12 ` Mikhail
1 sibling, 1 reply; 29+ messages in thread
From: Alexei Takaseev @ 2011-04-01 11:05 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
----- Исходное сообщение -----
> От: "Бабич Алексей" <a.babich@rez.ru>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Пятница, 1 Апрель 2011 г 20:00:00
> Тема: Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
> > >> Не поможет, по очень простой причине.
> > > Хотелось бы услышать, по какой.
> > Ширина входящего канала в разы меньше ширины исходящего.
> Занятость исходящего так-же регулируется посредством ESFQ поровну.
> В общем, не видно принципиальных проблем. Был бы сисадмином -
> отчитался бы об эксперименте, но это не моя всё таки юрисдикция.
Любопытно посмотреть на результаты Вашего эксперимента для вводной: от "легистимных"
клиентом имеем 100 соединений в секунду, от "качков" - 10 тыс. И как при таких вводных
ваша "серебрянная пуля" поделит полосу?
Порядок цифр относительный, но пропорции сохраняются.
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-04-01 11:05 ` Alexei Takaseev
@ 2011-04-01 11:53 ` Бабич Алексей
0 siblings, 0 replies; 29+ messages in thread
From: Бабич Алексей @ 2011-04-01 11:53 UTC (permalink / raw)
To: sysadmins
> Любопытно посмотреть на результаты Вашего эксперимента для вводной: от "легистимных"
> клиентом имеем 100 соединений в секунду, от "качков" - 10 тыс. И как при таких вводных
> ваша "серебрянная пуля" поделит полосу?
ESFQ поделит поровну :) Вернее, должна. Сейчас, правда, не могу сообразить: она поровну по критерию количества пакетов делает или по среднему объёму данных в пакетах. Практикой подтвердиь не могу, пардон.
Ну, ладно, чёрт с ней.
--
С уважением,
Алексей Бабич, инженер-схемотехник ООО НПП "Резонанс", Челябинск, Россия
http://www.rez.ru
email: a.babich@rez.ru
JID: impatt@jabber.ru
Правильно квотить так: http://news.baragoz.ru/quote.php
^ permalink raw reply [flat|nested] 29+ messages in thread
* Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
2011-04-01 11:00 ` Бабич Алексей
2011-04-01 11:05 ` Alexei Takaseev
@ 2011-04-01 11:12 ` Mikhail
1 sibling, 0 replies; 29+ messages in thread
From: Mikhail @ 2011-04-01 11:12 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Здравствуйте, Бабич.
Вы писали 1 апреля 2011 г., 15:00:00:
>> >> Не поможет, по очень простой причине.
>> > Хотелось бы услышать, по какой.
>> Ширина входящего канала в разы меньше ширины исходящего.
> Занятость исходящего так-же регулируется посредством ESFQ поровну.
> В общем, не видно принципиальных проблем. Был бы сисадмином -
> отчитался бы об эксперименте, но это не моя всё таки юрисдикция.
Вот именно. Были бы сис админом....
--
С уважением,
Mikhail mailto:lists@mishel.tk
^ permalink raw reply [flat|nested] 29+ messages in thread