Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

From: Mikhail <lists@mishel.tk>
To: Yuri Khachaturyan <yukh@yukh.ru>
Cc: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
Date: Fri, 25 Mar 2011 22:01:10 +0300
Message-ID: <1888873036.20110325220110@mishel.tk> (raw)
In-Reply-To: <AANLkTik6xmNvyRtWZr+W3z_pOMWUB00OJWoFZF-jKkpf@mail.gmail.com>

Здравствуйте, Yuri.

Вы писали 25 марта 2011 г., 16:48:08:

> Подскажите пожалуйста, может кто сталкивался?

Сталкивался.

> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами?

Одним  пакетником  не  справится. Нужен еще шейпер, и очень желательно
прокси.

Первую   проблему  создаст  скайп.  Отличить  его  от  торрент клиента,
проблематично. Но скайп можно завернуть через проксю.

Торрент   клиент,   должен  подключатся  к  торрент  трекерам.   Можно
отследить  эти трекеры, и забанить.  Это ручная работа.  Если еще HTTP
пустить  через  проксю, то можно вычислить и торрент серверы, и банить
их автоматом на лету, основываясь на разборе адреса.  Проблему создаст
DHT.  Вот с ним я бороться не пробовал, но возможно то же способ есть.

> Вариант с ограничением скорости конкретным юзерам не подходит - им
> чаще всего нужно для работы что-то быстро скачать.

"Что-то"  быстро  скачать,  обычно  HTTP/FTP,  или  у  вас  что-то  не
типичное, и качает по другим протоколам/портам?

Вот  тут  делается  шейпер,  для входящего. Весь "легитимный" проходит
шейпер  без  ограничений,  а весь остальной трафик, использует, то что
остается.  Или  не  резать  скорость, а просто пересортировать трафик.
"легитимное" идет в первую очередь.

Для  исходящего,  кроме  ограничения  скорости  шейпера,  ставите  еще
пересортировку  пакетов.  Весь  легитимный  трафик,  проходит шейпер в
первую очередь, и если очередь пуста, то идет весь остальной трафик.

> С проксей тоже не особо получается - для этого надо перед роутером с
> nat   ставить   отдельный   сервак  с  прозрачной  прокси.   От  nat
> отказываться  нельзя  -  через ipt_NETFLOW по цепочке FORWARD трафик
> считается...

Существует  мнение,  что  прокси  нужно  ставить  на  машину  с  двумя
интерфейсами.   Один   смотрит   в   локалку,  а  второй  наружу.  Это
заблуждение.   Прокси   прекрасно   будет  работать  на  любой  машине
подключенной  к  локальной  сети, и имеющей один интерфейс.

А почему нельзя поставить прокси на машину с NAT?

И почему обязательно прозрачный? Для скайпа лучше именно не прозрачный
и  стоящий  на  шлюзе, тогда скайп сам найдет этот прокси, и запретить
ему так делать у меня не получается.

И  почему  обязательно  считать  трафик  в форвард цепочке? Есть более
другие места для этого. Тогда и прокси не будет мешать считать трафик.
И вообще, с какой целью считается трафик?

И  трафик  прокси  то  же  можно  посчитать.  И добавить его к трафику
посчитанному в форвард цепочке.

-- 
С уважением,
 Mikhail                          mailto:lists@mishel.tk

next prev parent reply	other threads:[~2011-03-25 19:01 UTC|newest]

Thread overview: 29+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2011-03-25 13:48 Yuri Khachaturyan
2011-03-25 14:11 ` Michael Shigorin
2011-03-25 14:15   ` Yuri Khachaturyan
2011-03-25 14:28     ` Michael Shigorin
2011-03-25 14:32       ` Yuri Khachaturyan
2011-03-25 17:51         ` Michael Shigorin
2011-03-25 14:15 ` Denis Nazarov
2011-03-25 14:24   ` Yuri Khachaturyan
2011-03-25 14:43     ` Alexey Morsov
2011-03-25 14:57       ` Yuri Khachaturyan
2011-03-25 15:33         ` v.n.belyaev
2011-03-25 15:35         ` Alexey Morsov
2011-03-25 14:32 ` Slava Dubrovskiy
2011-03-25 19:01 ` Mikhail [this message]
2011-03-26  2:45   ` Alexei Takaseev
2011-03-26  5:08     ` Anton Farygin
2011-03-27 16:25 ` Mikhail
2011-03-28 12:11     ` Michael Shigorin
2011-03-28 13:58 ` Mike A
2011-04-01  3:51 ` Бабич Алексей
2011-04-01  9:03   ` Mikhail
2011-04-01  9:13     ` Бабич Алексей
2011-04-01  9:25       ` Alexei Takaseev
2011-04-01  9:45         ` Бабич Алексей
2011-04-01 10:49       ` Mikhail
2011-04-01 11:00         ` Бабич Алексей
2011-04-01 11:05           ` Alexei Takaseev
2011-04-01 11:53             ` Бабич Алексей
2011-04-01 11:12           ` Mikhail

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=1888873036.20110325220110@mishel.tk \
    --to=lists@mishel.tk \
    --cc=sysadmins@lists.altlinux.org \
    --cc=yukh@yukh.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git