From: Michael Shigorin <mike@osdn.org.ua>
To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Борьба с торрентами на роутере с помощью iptables
Date: Fri, 25 Mar 2011 19:51:25 +0200
Message-ID: <20110325175125.GR2699@osdn.org.ua> (raw)
In-Reply-To: <AANLkTinDe2Pi6SSWumV5_iKDfKeVfW1xOY_iWSPWR+ju@mail.gmail.com>
On Fri, Mar 25, 2011 at 05:32:13PM +0300, Yuri Khachaturyan wrote:
> > Если безобразик ясен и взаимопонимание с руководством есть,
> > то должно прокатить; если нет -- можно вывесить на видном месте
> > объявление вида "за тормоза вчера благодарим имярек".
> Взаимопонимание есть, но все равно не прокатывает. Производственный
> процесс для руководства важнее и ему все равно какими средствами этот
> процесс движется вперед. Объяснять человеку, что и как делать нельзя -
> бесполезно. Потому хочется глобально что-то решить для всей сети.
Это не решается глобально технически -- если возьмёте
стомегабитный канал и "типа продвинутый" контингент есть,
то обязательно найдётся достаточно наивный/жадный, чтоб
не смочь/додуматься поставить шайбу в торрент-клиенте
и не отсвечивать в общем зачёте.
Если скорее наивный, чем жадный -- можно сперва попробовать
объяснить, что лучше бы он поискал настройки полосы пропускания
в торрент-клиенте и ограничился, скажем, мегабитом и тремя
десятками коннекшенов "на всё".
А если скорее жадный -- то поскольку человек таким образом
не только использует ресурсы фирмы не по назначению, но ещё
и наносит ущерб продуктивности коллег -- вправлять мозги надо
именно на этот счёт.
> > Если меняются -- тогда всё-таки стоит начинать с ограничения
> > хотя бы в 50, но всем. Только оно и на скайп повлиять может.
> А можно с этого места поподробнее? 50 соедиений на IP - как
> это может сказаться на скайпе? Скайп для нас очень важен -
> многие подводки и телемосты идут только через него...
50 может и не сказаться, а вот при 20/host может уже и не
коннектиться (плюс, помнится, от версии зависело).
Мы проходили нечто подобное с "коробочковым" маршрутизатором,
когда люди банально забывали погасить торрент-клиента на ноуте
и избыточным количеством соединений "захлёбывали" слабенькую
машинку, при этом даже не насыщая сам канал. Попытки подобрать
разумное ограничение кол-ва соединений показали, что достаточно
эффективное в целях предотвращения DoS (~20) уже влияет на skype
(которым тоже пользуются в т.ч. в служебных целях), а достаточно
безопасное для skype (~50--70) не решает проблему с торрентами,
хотя и облегчает её по сравнению со, скажем, 400 соединений.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
next prev parent reply other threads:[~2011-03-25 17:51 UTC|newest]
Thread overview: 29+ messages / expand[flat|nested] mbox.gz Atom feed top
2011-03-25 13:48 Yuri Khachaturyan
2011-03-25 14:11 ` Michael Shigorin
2011-03-25 14:15 ` Yuri Khachaturyan
2011-03-25 14:28 ` Michael Shigorin
2011-03-25 14:32 ` Yuri Khachaturyan
2011-03-25 17:51 ` Michael Shigorin [this message]
2011-03-25 14:15 ` Denis Nazarov
2011-03-25 14:24 ` Yuri Khachaturyan
2011-03-25 14:43 ` Alexey Morsov
2011-03-25 14:57 ` Yuri Khachaturyan
2011-03-25 15:33 ` v.n.belyaev
2011-03-25 15:35 ` Alexey Morsov
2011-03-25 14:32 ` Slava Dubrovskiy
2011-03-25 19:01 ` Mikhail
2011-03-26 2:45 ` Alexei Takaseev
2011-03-26 5:08 ` Anton Farygin
2011-03-27 16:25 ` Mikhail
2011-03-28 12:11 ` Michael Shigorin
2011-03-28 13:58 ` Mike A
2011-04-01 3:51 ` Бабич Алексей
2011-04-01 9:03 ` Mikhail
2011-04-01 9:13 ` Бабич Алексей
2011-04-01 9:25 ` Alexei Takaseev
2011-04-01 9:45 ` Бабич Алексей
2011-04-01 10:49 ` Mikhail
2011-04-01 11:00 ` Бабич Алексей
2011-04-01 11:05 ` Alexei Takaseev
2011-04-01 11:53 ` Бабич Алексей
2011-04-01 11:12 ` Mikhail
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20110325175125.GR2699@osdn.org.ua \
--to=mike@osdn.org.ua \
--cc=shigorin@gmail.com \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git